Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Manual de Instalacion y Guia para Exchange Server

    Cargado por

    Enrique Nieto
    108 vistas123 páginas

    Título original

    Manual de Instalacion y Guia Para Exchange Server

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    108 vistas123 páginas

    Manual de Instalacion y Guia para Exchange Server

    Cargado por

    Enrique Nieto

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 123

    ESET Mail Security 4

    para Microsoft Exchange Server


    Versin 4.3

    Manual de instalacin y gua para el usuario


    Microsoft Windows Server 2000 / 2003 / 2008

    Haga un clic aqu para descargar la versin ms reciente de este documento.

    ESET Mail Security 4


    Copyright 2011 por ESET, spol. s r.o.
    ESET Mail Security fue desarrollado por ESET, spol. s r.o. Para obtener ms informacin visite www.eset-la.com. Todos los derechos reservados. Queda prohibida la reproduccin total o parcial de esta documentacin, as como su almacenamiento en sistemas de recuperacin o su transmisin, en ninguna forma ni por ningn medio, ya sea electrnico, mecnico, fotocopiado, grabado, escaneado u otro, sin permiso por escrito del autor. ESET, spol. s r.o. se reserva el derecho se modificar cualquiera de los programas de aplicacin aqu descritos sin previo aviso. Atencin al cliente en todo el mundo: www.eset.eu/support Atencin al cliente en Latinoamrica: http://www.eset-la.com/soporte/ contacto REV. 6/23/2011

    Contenido
    3.3.3 Alertas y notificaciones ...........................................................................47

    1. Introduccin ..................................................5
    1.1 Lo nuevo en la versin 4.3 ........................................................................5 1.2 Requisitos del sistema ........................................................................6 1.3 Mtodos usados ........................................................................6 1.3.1 1.3.2 1.4.1 1.4.2 1.4.3 Exploracin de buzones de correo mediante VSAPI ...........................................................................6 Filtrado de mensajes en el nivel del servidor SMTP ...........................................................................7 Proteccin antivirus ...........................................................................7 Proteccin antispam ...........................................................................7 Aplicacin de reglas definidas por el usuario ...........................................................................7

    3.4 Preguntas frecuentes ........................................................................47

    4. ESET Mail Security - proteccin del servidor ..................................................50


    4.1 Proteccin antivirus y antispyware ........................................................................50 4.1.1 4.1.1.1 4.1.1.1.1 4.1.1.1.2 4.1.1.1.3 4.1.1.2 4.1.1.3 4.1.1.4 4.1.1.5 4.1.2 4.1.2.1 4.1.2.1.1 4.1.2.2 4.1.2.2.1 4.1.2.3 4.1.3 4.1.3.1 4.1.3.1.1 4.1.3.1.2 4.1.4 4.1.4.1 4.1.4.1.1 4.1.4.1.2 4.1.4.2 4.1.4.3 4.1.5 4.1.6 4.1.6.1 4.1.6.1.1 4.1.6.1.2 4.1.7 4.1.7.1 4.1.7.2 4.1.7.3 4.1.7.4 4.1.7.5 4.1.7.6 4.1.8 Proteccin del sistema de archivos en tiempo real ...........................................................................50 Configuracin del control ..........................................................................50 Medios para explorar ............................................................................51 Exploracin accionada por un suceso ............................................................................51 Opciones avanzadas de exploracin ............................................................................52 Niveles de desinfeccin ..........................................................................52 Cundo modificar la configuracin de la proteccin en tiempo real ..........................................................................53 Verificacin de la proteccin en tiempo real ..........................................................................53 Qu hacer si la proteccin en tiempo real no funciona ..........................................................................54 Proteccin del cliente de correo electrnico ...........................................................................55 Verificacin de POP3 ..........................................................................55 Compatibilidad ............................................................................56 Integracin con los clientes de correo electrnico ..........................................................................56 Adhesin de mensajes de etiqueta al cuerpo de los correos electrnicos ............................................................................57 Eliminacin de infiltraciones ..........................................................................58 Proteccin del acceso a la Web ...........................................................................58 HTTP, HTTPS ..........................................................................58 Administracin de direcciones ............................................................................60 Modo activo ............................................................................61 Exploracin bajo demanda del equipo ...........................................................................62 Tipo de exploracin ..........................................................................63 Exploracin inteligente ............................................................................63 Exploracin personalizada ............................................................................63 Objetos para explorar ..........................................................................64 Perfiles de exploracin ..........................................................................65 Rendimiento ...........................................................................65 Filtrado de protocolos ...........................................................................65 SSL ..........................................................................66 Certificados de confianza ............................................................................66 Certificados excluidos ............................................................................66 Configuracin de los parmetros del motor ThreatSense ...........................................................................66 Configuracin de objetos ..........................................................................67 Opciones ..........................................................................68 Desinfeccin ..........................................................................69 Extensiones ..........................................................................70 Lmites ..........................................................................70 Otros ..........................................................................71 Deteccin de una infiltracin ...........................................................................71

    1.4 Tipos ........................................................................7 de proteccin

    1.5 Interfaz del usuario ........................................................................8

    2. Instalacin ..................................................9
    2.1 Instalacin tpica ........................................................................9 2.2 Instalacin personalizada ........................................................................10 2.3 Terminal Server ........................................................................12 2.4 Reemplazo por una versin ms nueva ........................................................................13 2.5 Instalacin en un entorno de clster ........................................................................13 2.6 Licencia ........................................................................14 2.7 Configuracin posterior a la instalacin ........................................................................17

    3. ESET Mail Security - proteccin de Microsoft Exchange Server ..................................................20


    3.1 Configuracin general ........................................................................20 3.1.1 3.1.1.1 3.1.1.2 3.1.2 3.1.2.1 3.1.2.2 3.1.3 3.1.4 3.1.4.1 3.1.5 3.2.1 3.2.1.1 Microsoft Exchange Server ...........................................................................20 VSAPI (Interfaz de programacin para aplicaciones de ..........................................................................20 deteccin de virus) Agente de transporte ..........................................................................20 Reglas ...........................................................................22 Agregado de una nueva regla ..........................................................................23 Acciones emprendidas en la aplicacin de reglas ..........................................................................24 Archivos de registro ...........................................................................25 Cuarentena de mensajes ...........................................................................26 Agregado de una nueva regla de cuarentena ..........................................................................27 Rendimiento ...........................................................................28

    3.2 Configuracin antivirus y antispyware ........................................................................28 Microsoft Exchange Server ...........................................................................28 Interfaz de programacin para aplicaciones de deteccin de virus (VSAPI) ..........................................................................29 3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0) ............................................................................29 3.2.1.1.1.1 Acciones .........................................................................29 3.2.1.1.1.2 Rendimiento .........................................................................30 3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0) ............................................................................30 3.2.1.1.2.1 Acciones .........................................................................30 3.2.1.1.2.2 Rendimiento .........................................................................31 3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5) ............................................................................31 3.2.1.1.3.1 Acciones .........................................................................32 3.2.1.1.3.2 Rendimiento .........................................................................32 3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) ............................................................................33 3.2.1.1.4.1 Acciones .........................................................................33 3.2.1.1.4.2 Rendimiento .........................................................................34 3.2.1.1.5 Agente de transporte ............................................................................35 3.2.2 Acciones ...........................................................................36 3.2.3 Alertas y notificaciones ...........................................................................36 3.2.4 Exclusiones automticas ...........................................................................37 3.3 Proteccin antispam ........................................................................38 3.3.1 3.3.1.1 3.3.2 3.3.2.1 Microsoft Exchange Server ...........................................................................39 Agente de transporte ..........................................................................39 Motor antispam ...........................................................................40 Configuracin de los parmetros del motor antispam ..........................................................................41 3.3.2.1.1 Archivo de configuracin ............................................................................43

    4.2 Actualizacin del programa ........................................................................72 4.2.1 Configuracin de la actualizacin ...........................................................................74 4.2.1.1 Perfiles de actualizacin ..........................................................................75 4.2.1.2 Configuracin avanzada de la actualizacin ..........................................................................75 4.2.1.2.1 Modo de actualizacin ............................................................................76 4.2.1.2.2 Servidor proxy ............................................................................77 4.2.1.2.3 Conexin a la red de rea local ............................................................................79 4.2.1.2.4 Creacin de copias de actualizacin: mirror ............................................................................80 4.2.1.2.4.1Actualizacin desde el mirror .........................................................................81 4.2.1.2.4.2Resolucin de problemas de actualizacin desde el mirror .........................................................................82 4.2.2 Cmo crear tareas de actualizacin ...........................................................................83 4.3 Tareas programadas ........................................................................83 4.3.1 4.3.2 4.4.1 4.4.2 4.4.3 Finalidad de la programacin de tareas ...........................................................................84 Creacin de tareas nuevas ...........................................................................84 Envo de archivos a cuarentena ...........................................................................86 Restauracin desde cuarentena ...........................................................................86 Envo de archivos desde cuarentena ...........................................................................86

    4.4 Cuarentena ........................................................................85

    4.5 Archivos de registro ........................................................................87

    4.5.1 4.5.2 4.5.3 4.6.1 4.6.1.1 4.6.2 4.6.2.1 4.6.2.2 4.6.2.3 4.6.3 4.6.4 4.6.4.1 4.6.4.2 4.6.4.3 4.6.5 4.6.6 4.6.7 4.6.8 4.7.1 4.7.2 4.7.2.1 4.7.2.2 4.7.2.3 4.7.2.4 4.7.2.5 4.7.3 4.7.3.1 4.8.1 4.8.2

    Filtrado de registros ...........................................................................90 Bsqueda en el registro ...........................................................................92 Mantenimiento de registros ...........................................................................94 Introduccin a ESET SysInspector ...........................................................................95 Inicio de ESET SysInspector ..........................................................................95 Interfaz del usuario y uso de la aplicacin ...........................................................................95 Controles del programa ..........................................................................96 Navegacin por ESET SysInspector ..........................................................................96 Comparacin ..........................................................................97 Parmetros de la lnea de comandos ...........................................................................98 Script de servicio ...........................................................................99 Generacin de scripts de servicio ..........................................................................99 Estructura del script de servicio ..........................................................................99 Ejecucin de scripts de servicio ..........................................................................101 Accesos directos ...........................................................................101 Requisitos del sistema ...........................................................................102 Preguntas frecuentes ...........................................................................103 SysInspector como parte de ESET Mail Security ...........................................................................104 Requisitos mnimos ...........................................................................104 Cmo crear un CD de recuperacin ...........................................................................105 Carpetas ..........................................................................105 ESET Antivirus ..........................................................................105 Configuracin avanzada ..........................................................................105 Dispositivo USB de arranque ..........................................................................106 Grabacin ..........................................................................106 Trabajo con ESET SysRescue ...........................................................................106 Utilizacin de ESET SysRescue ..........................................................................106 Alertas y notificaciones ...........................................................................108 Deshabilitacin de la interfaz grfica del usuario en Terminal Server ...........................................................................109

    4.6 ESET SysInspector ........................................................................95

    4.7 ESET SysRescue ........................................................................104

    4.8 Opciones de la interfaz del usuario ........................................................................106

    4.9 Lnea de comandos ........................................................................110 4.10 Importacin y exportacin de una configuracin ........................................................................112 4.11 ThreatSense.Net ........................................................................112 4.11.1 4.11.2 4.11.3 Archivos sospechosos ...........................................................................113 Estadsticas ...........................................................................114 Envo ...........................................................................115

    4.12 Administracin remota ........................................................................116 4.13 Licencias ........................................................................117

    5. Glosario ..................................................118
    5.1 Tipos de infiltracin ........................................................................118 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 5.1.8 5.2.1 5.2.2 5.2.3 5.2.4 5.2.4.1 5.2.4.2 5.2.4.3 5.2.4.4 5.2.4.5 Virus ...........................................................................118 Gusanos ...........................................................................118 Troyanos ...........................................................................119 Rootkits ...........................................................................119 Adware ...........................................................................119 Spyware ...........................................................................120 Aplicaciones potencialmente no seguras ...........................................................................120 Aplicaciones potencialmente no deseadas ...........................................................................120 Anuncios ...........................................................................121 Mensajes falsos ...........................................................................121 Phishing ...........................................................................122 Reconocimiento de fraudes de spam ...........................................................................122 Reglas ..........................................................................122 Filtro bayesiano ..........................................................................123 Lista blanca ..........................................................................123 Lista negra ..........................................................................123 Control desde el servidor ..........................................................................123

    5.2 Correo electrnico ........................................................................121

    1. Introduccin
    ESET Mail Security 4 para Microsoft Exchange Server es una solucin integrada que protege los buzones de correo ante diversos tipos de contenido malicioso, incluyendo archivos adjuntos de correo electrnico infectados por gusanos o troyanos, documentos que contienen scripts dainos, phishing y spam. ESET Mail Security proporciona tres tipos de proteccin: antivirus, antispam y la aplicacin de reglas definidas por el usuario. ESET Mail Security filtra el contenido malicioso en el nivel del servidor de correo, antes de que llegue al buzn de entrada del destinatario ESET Mail Security es compatible con la versin 5.5 de Microsoft Exchange Server y versiones posteriores, as como con Microsoft Exchange Server en un entorno de clster. En las versiones ms nuevas (Microsoft Exchange Server 2007 y posteriores), tambin se soportan los roles especficos (buzn de correo, hub, edge). En redes ms grandes, es posible administrar ESET Mail Security en forma remota con la ayuda de ESET Remote Administrator. A la vez que proporciona proteccin para el servidor Microsoft Exchange Server, ESET Mail Security tambin cuenta con las herramientas para asegurar la proteccin del servidor en s mismo (escudo residente, proteccin de acceso a la Web, proteccin del cliente de correo electrnico y antispam).

    1.1 Lo nuevo en la versin 4.3


    Al compararla con la versin 4.2 de ESET Mail Security, la versin 4.3 incluye las novedades y mejoras que se mencionan a continuacin: Se agregaron nuevos registros para el antispam y las listas grises; ambos incluyen informacin detallada sobre los mensajes procesados por la proteccin antispam y de listas grises. El registro antispam tambin incluye las razones detalladas para clasificar los mensajes como SPAM. Exclusiones automticas: incremento en la estabilidad general y funcionamiento del servidor sin inconvenientes. La definicin de grupos completos para excluir de la exploracin de la proteccin antivirus (para aplicaciones especficas del servidor o para archivos del sistema operativo) ahora es posible con solo un clic. Categorizacin de mensajes segn el valor del puntaje de spam: los administradores ahora pueden especificar rangos de puntajes de spam para personalizar qu mensajes deben categorizarse como spam y as ajustar el filtrado antispam. Combinacin de licencias: ESET Mail Security permite usar varias licencias para incrementar la cantidad de buzones de correo protegidos.

    1.2 Requisitos del sistema


    Sistemas operativos compatibles: Microsoft Windows NT 4.0 SP6, SP6a Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 y x64) Microsoft Windows Server 2008 (x86 y x64) Microsoft Windows Server 2008 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64)

    Versiones compatibles de Microsoft Exchange Server: Microsoft Exchange Server 5.5 SP3, SP4 Microsoft Exchange Server 2000 SP1, SP2, SP3 Microsoft Exchange Server 2003 SP1, SP2 Microsoft Exchange Server 2007 SP1, SP2, SP3 Microsoft Exchange Server 2010 SP1

    Los requisitos de hardware dependen de la versin del sistema operativo y de la versin utilizada de Microsoft Exchange Server. Es recomendable leer la documentacin del producto Microsoft Exchange Server para obtener informacin ms detallada sobre los requisitos de hardware.

    1.3 Mtodos usados


    Se usan dos mtodos independientes para explorar mensajes de correo electrnico: La exploracin de buzones de correo mediante VSAPI El filtrado de mensajes en el nivel del servidor SMTP 7
    6

    1.3.1 Exploracin de buzones de correo mediante VSAPI Microsoft Exchange Server activa el proceso de exploracin del buzn de correo y lo controla. Los correos electrnicos en el almacn de Microsoft Exchange Server se exploran constantemente. Dependiendo de la versin de Microsoft Exchange Server, la versin de la interfaz VSAPI y la configuracin definida por el usuario, el proceso de exploracin puede activarse en cualquiera de las siguientes situaciones: Cuando el usuario accede al correo electrnico, por ej., en un cliente de correo electrnico (el correo electrnico siempre se explora con la ltima base de datos de firmas de virus) En segundo plano, cuando el uso de Microsoft Exchange Server es bajo En forma proactiva (basndose en el algoritmo interno de Microsoft Exchange Server) Actualmente, la exploracin antivirus y la proteccin basada en reglas utilizan la interfaz VSAPI .

    1.3.2 Filtrado de mensajes en el nivel del servidor SMTP El filtrado en el nivel del servidor SMTP se asegura mediante el uso de un complemento especial. En Microsoft Exchange Server 2000 y 2003, el complemento en cuestin (Receptor de sucesos) se registra en el servidor SMTP como parte de Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se registra como un agente de transporte en el rol Edge o Hub de Microsoft Exchange Server. El filtrado en el nivel del servidor SMTP por un agente de transporte ofrece proteccin antivirus, antispam y mediante reglas definidas por el usuario. A diferencia del filtrado de VSAPI, el filtrado en el nivel del servidor SMTP se realiza antes de que el correo electrnico explorado llegue al buzn de correo de Microsoft Exchange Server.

    1.4 Tipos de proteccin


    Existen tres tipos de proteccin: 1.4.1 Proteccin antivirus La proteccin antivirus es una de las funciones bsicas del producto ESET Mail Security. La proteccin antivirus defiende el sistema ante ataques maliciosos mediante el control de archivos, correos electrnicos y comunicaciones por Internet. Si se detecta una amenaza con cdigos maliciosos, el mdulo antivirus la puede eliminar bloquendola y luego desinfectndola, eliminndola o envindola a cuarentena 85 . 1.4.2 Proteccin antispam La proteccin antispam integra varias tecnologas (tales como RBL, DNSBL, huellas digitales, verificacin de reputacin, anlisis de contenido, filtro bayesiano, reglas, creacin manual de listas blancas y negras, etc.) para alcanzar el nivel mximo de deteccin de amenazas provenientes del correo electrnico. El resultado que arroja el motor de exploracin antispam es el valor de probabilidad que tiene un mensaje especfico de correo electrnico para ser considerado spam, expresado como un porcentaje (de 0 a 100). Otro componente del mdulo de proteccin antispam es la tcnica de creacin de listas grises (que por defecto se encuentra deshabilitada). La tcnica se basa en la especificacin RFC 821, que indica que, como el protocolo SMTP se considera un transporte no confiable, cada agente de transferencia de mensajes (MTA) debe intentar enviar reiteradamente un correo electrnico al encontrarse con un error temporal en el envo. Una parte sustancial del spam consiste en envos que se realizan una sola vez (usando herramientas especializadas) a una lista masiva de direcciones de correo electrnico generada automticamente. Cuando un servidor usa listas grises, calcula un valor de control (hash) para la ruta de retorno del remitente, la ruta de retorno del destinatario y la direccin IP del MTA que realiza el envo. Si el servidor no logra encontrar el valor de control para el tro en su base de datos, se rehsa a recibir el mensaje y devuelve un cdigo de error temporal (por ejemplo, error temporal 451). Un servidor legtimo intentar volver a enviar el mensaje tras un lapso variable de tiempo. El valor de control del tro se guardar en la base de datos de conexiones verificadas en el segundo intento, permitiendo que cualquier correo electrnico de caractersticas relevantes se distribuya de ese momento en adelante. 1.4.3 Aplicacin de reglas definidas por el usuario La proteccin basada en reglas definidas por el usuario est disponible para explorar tanto con VSAPI como con el agente de transporte. Puede utilizar la interfaz del usuario de ESET Mail Security para crear reglas individuales que tambin se pueden combinar entre si. Si una regla usa varias condiciones, las condiciones se vincularn usando el operador lgico AND. En consecuencia, la regla se ejecutar nicamente cuando se cumplan todas sus condiciones. Si se crean varias reglas, se aplicar el operador lgico OR, lo que significa que el programa ejecutar la primera regla para la cual se cumplan las condiciones. En la secuencia de exploracin, la primera tcnica utilizada es la lista gris, si se encuentra habilitada. Los procedimientos subsiguientes siempre ejecutarn estas tcnicas: proteccin basada en las reglas definidas por el usuario, luego, la exploracin antivirus y, finalmente, una exploracin antispam.

    1.5 Interfaz del usuario


    ESET Mail Security cuenta con una interfaz grfica del usuario diseada para ser lo ms intuitiva posible. La interfaz grfica les brinda a los usuarios un acceso rpido y fcil a las funciones principales del programa. Adems de la interfaz grfica principal, hay un rbol de configuracin avanzada al que se puede acceder desde cualquier seccin del programa presionando la tecla F5. Tras presionar la tecla F5, se abre la ventana del rbol de configuracin avanzada y muestra una lista de caractersticas del programa configurables. Desde esta ventana, se pueden configurar las opciones y preferencias segn las necesidades del usuario. La estructura con forma de rbol se divide en dos secciones: Proteccin del servidor y Proteccin del equipo. La seccin Proteccin del servidor contiene elementos relacionados a la configuracin de ESET Mail Security, especficos para la proteccin del servidor Microsoft Exchange. La seccin Proteccin del equipo contiene los elementos configurables para la proteccin del servidor en s mismo.

    2. Instalacin
    Tras adquirir ESET Mail Security, puede descargar el programa de instalacin desde el sitio Web de ESET (http:// www.eset-la.com) como un paquete .msi. Cuando ejecute el programa de instalacin, el asistente de instalacin lo guiar a travs de la configuracin bsica. Hay dos tipos de instalacin disponibles con distintos niveles de detalles de configuracin: 1. Instalacin tpica 2. Instalacin personalizada|

    2.1 Instalacin tpica


    El modo de instalacin tpica instala rpidamente ESET Mail Security con las mnimas opciones de configuracin durante el proceso de instalacin. La instalacin tpica es el modo de instalacin predeterminado y se recomienda si usted an no tiene requerimientos particulares sobre una configuracin especfica. Luego de haber instalado ESET Mail Security en el sistema, puede modificar las opciones y la configuracin en cualquier momento. Esta gua para el usuario describe las opciones de configuracin y las funciones en forma detallada. La configuracin del modo de instalacin tpica proporciona un excelente nivel de seguridad combinado con la facilidad de uso y un alto rendimiento del sistema. Tras seleccionar el modo de instalacin y hacer clic en Siguiente, el programa le indicar que ingrese su nombre de usuario y contrasea. Esta accin tiene un rol significativo para que el sistema cuente con proteccin constante, ya que el nombre de usuario y la contrasea permiten las actualizaciones automticas de la base de datos de firmas de virus Actualizaciones 72 . Ingrese el nombre de usuario y la contrasea recibidos cuando adquiri o registr el producto, en los campos correspondientes. Si an no posee un nombre de usuario y una contrasea, pueden ingresarse ms tarde directamente desde el programa. En el paso siguiente (Administrador de licencias), agregue el archivo de licencia que recibi por correo electrnico luego de adquirir el producto.

    El prximo paso es configurar el Sistema de alerta temprana ThreatSense.Net. El sistema de alerta temprana ThreatSense.Net ayuda a garantizar que ESET se mantenga informado en forma instantnea y continua sobre las nuevas infiltraciones para proteger rpidamente a los clientes. El sistema permite enviar las nuevas amenazas al laboratorio de amenazas de ESET, donde se analizan, procesan y agregan a la base de datos de firmas de virus. En forma predeterminada se encuentra seleccionada la opcin Habilitar el sistema de alerta temprana ThreatSense.Net. Haga clic en Configuracin avanzada... para modificar las opciones detalladas de configuracin correspondientes al envo de archivos sospechosos. El paso siguiente en el proceso de instalacin consiste en configurar la Deteccin de aplicaciones potencialmente no deseadas. Las aplicaciones potencialmente no deseadas no son necesariamente maliciosas, pero pueden afectar el comportamiento de su equipo en forma negativa. Estas aplicaciones con frecuencia forman parte de un paquete junto a otros programas y puede ser difcil advertirlas durante el proceso de instalacin. Aunque por lo general muestran una notificacin durante su instalacin, pueden instalarse con facilidad sin el consentimiento del usuario. Seleccione la opcin Habilitar la deteccin de aplicaciones potencialmente no deseadas para permitir que ESET Mail Security detecte este tipo de amenaza (recomendado). Si no desea usar esta funcin, seleccione la opcin Deshabilitar la deteccin de aplicaciones potencialmente no deseadas. El paso final en el modo de instalacin tpica es confirmar la instalacin haciendo clic en el botn Instalar.

    2.2 Instalacin personalizada


    La instalacin personalizada est diseada para los usuarios que desean configurar ESET Mail Security durante el proceso de instalacin. Tras seleccionar el modo de instalacin y hacer clic en Siguiente, el programa le indicar que seleccione una ubicacin de destino para la instalacin. En forma predeterminada, el programa se instala en C:\Archivos de programa\ESET\ESET Mail Security. Haga clic en Examinar... para cambiar esa ubicacin (no recomendado). A continuacin, ingrese su Nombre de usuario y Contrasea. Este paso es similar al del modo de instalacin tpica (ver "Instalacin tpica" 9 ).

    10

    En el paso siguiente (Administrador de licencias), agregue el archivo de licencia que recibi por correo electrnico luego de adquirir el producto.

    Tras ingresar el nombre de usuario y la contrasea, haga clic en Siguiente para Configurar su conexin a Internet. Si utiliza un servidor proxy, debe configurarse con exactitud para que las actualizaciones de firmas de virus funcionen en forma correcta. Si desea que el servidor proxy se configure automticamente, seleccione la configuracin predeterminada Desconozco si mi conexin a Internet usa un servidor proxy. Utilizar la misma configuracin que Internet Explorer. (Recomendado) y haga clic en Siguiente. Si no usa un servidor proxy, seleccione la opcin No uso servidor proxy.

    Si prefiere ingresar los detalles del servidor proxy usted mismo, puede configurarlos en forma manual. Para configurar el servidor proxy, seleccione Uso servidor proxy y haga clic en Siguiente. Ingrese la direccin IP o el URL del servidor proxy en el campo Direccin. En el campo Puerto, especifique el puerto en el que el servidor proxy aceptar las conexiones (el predeterminado es 3128). Si su servidor proxy requiere autenticacin, ingrese un Nombre de usuario y una Contrasea vlidos para tener acceso al servidor proxy. Tambin es posible copiar la configuracin del servidor proxy desde Internet Explorer si lo desea. Cuando se hayan ingresado los detalles del servidor proxy, haga clic en Aplicar y confirme la seleccin. Haga clic en Siguiente para Configurar las opciones de actualizacin automtica. Este paso permite determinar cmo se manejarn las actualizaciones automticas de componentes del programa en el sistema. Haga clic en Cambiar... para acceder a la configuracin avanzada.
    11

    Si no desea que se actualicen los componentes del programa, seleccione la opcin Nunca actualizar los componentes del programa. Seleccione la opcin Preguntar antes de descargar componentes del programa para mostrar una ventana de confirmacin antes de descargar componentes del programa. Para descargar los reemplazos de componentes del programa por una versin posterior en forma automtica, seleccione la opcin Siempre actualizar los componentes del programa.

    NOTA: Luego de una actualizacin de componentes del programa, en general se necesita reiniciar el sistema. Es recomendable seleccionar la opcin Nunca reiniciar el equipo. Las ltimas actualizaciones de componentes tendrn efecto tras el siguiente reinicio del servidor (ya sea programado 83 , manual o de otra forma). Puede elegir la opcin Ofrecer reiniciar el equipo si es necesario si desea que el programa le recuerde reiniciar el servidor luego de que los componentes se hayan actualizado. Con esta configuracin, puede reiniciar el servidor de inmediato o posponer el reinicio y realizarlo ms tarde. La siguiente ventana de la instalacin ofrece la opcin de establecer una contrasea para proteger la configuracin del programa. Seleccione la opcin Proteger las opciones de configuracin mediante una contrasea e ingrese una contrasea de su eleccin en los campos Nueva contrasea y Confirmar la nueva contrasea. Los siguientes dos pasos de la instalacin, Sistema de alerta temprana ThreatSense.Net y Deteccin de aplicaciones potencialmente no deseadas, son los mismos que los del modo de instalacin tpica (ver "Instalacin tpica" 9 ). Haga clic en Instalar en la ventana Preparado para instalar para finalizar la instalacin.

    2.3 Terminal Server


    Si instal ESET Mail Security en un servidor Windows que funciona como Terminal Server, es posible que quiera deshabilitar la interfaz grfica del usuario de ESET Mail Security para evitar que se inicie cada vez que se registre un usuario. Para ver los pasos especficos para deshabilitarla, consulte el captulo Deshabilitacin de la interfaz grfica del usuario en Terminal Server 109 .

    12

    2.4 Reemplazo por una versin ms nueva


    Las versiones ms nuevas de ESET Mail Security se emiten para mejorar el programa o para resolver problemas que no se pueden solucionar mediante actualizaciones automticas de los mdulos del programa. El reemplazo por una versin posterior se puede realizar de cualquiera de las siguientes maneras: 1. Reemplazar automticamente mediante una actualizacin de componentes del programa (PCU) Como los reemplazos de componentes del programa por una versin posterior se distribuyen a todos los usuarios y pueden impactar en las configuraciones del sistema, se emiten luego de un largo perodo de prueba para asegurar un proceso de actualizacin sin inconvenientes en todas las configuraciones de sistema posibles. Si necesita reemplazar el programa por una versin ms nueva inmediatamente luego de su lanzamiento, use uno de los siguientes mtodos: 2. En forma manual, descargando e instalando la nueva versin sobre la instalacin previa Al comienzo de la instalacin, puede elegir conservar la configuracin actual del programa seleccionando la casilla de verificacin Utilizar la configuracin actual 3. En forma manual, con el despliegue automtico en un entorno de red usando ESET Remote Administrator.

    2.5 Instalacin en un entorno de clster


    Un clster es un grupo de servidores (un servidor conectado a un clster se llama "nodo") que funcionan en forma conjunta como si fueran un nico servidor. Este tipo de entorno proporciona un nivel elevado de accesibilidad y confiabilidad con respecto a los servicios disponibles. Si uno de los nodos del clster falla o no se puede acceder a l, su funcionamiento queda cubierto automticamente por otro nodo del clster. ESET Mail Security es perfectamente compatible con servidores de Microsoft Exchange Server conectados en un clster. Para que ESET Mail Security funcione correctamente, es importante que cada nodo del clster tenga la misma configuracin. Esto puede lograrse aplicando una poltica mediante ESET Remote Administrator (ERA). En los siguientes captulos, describiremos cmo instalar y configurar ESET Mail Security en servidores de un entorno de clster usando ERA. Instalacin Este captulo explica el mtodo de instalacin impulsada; no obstante, no es la nica manera de instalar un producto en el equipo de destino. Para obtener ms informacin sobre mtodos de instalacin adicionales, consulte la Gua para el usuario de ESET Remote Administrator. 1) Descargue el paquete de instalacin msi de ESET Mail Security desde el sitio Web de ESET en el equipo donde est instalado ERA. En la pestaa Instalacin remota de ERA, en Equipos, haga un clic derecho en cualquier equipo de la lista y elija Administrar paquetes del men contextual. En el men desplegable Tipo, seleccione Paquete de productos de seguridad de ESET y haga clic en Agregar... En Origen, encuentre el paquete de instalacin de ESET Mail Security descargado y haga clic en Crear. 2) En Modificar o seleccionar la configuracin asociada a este paquete, haga clic en Editar y configure las opciones de ESET Mail Security segn sus necesidades. Las opciones de configuracin de ESET Mail Security se encuentran en las siguientes secciones: ESET Smart Security, ESET NOD32 Antivirus > Proteccin del servidor de correo y Proteccin del servidor de correo para Microsoft Exchange Server. Tambin puede establecer los parmetros de otros mdulos incluidos en ESET Mail Security (por ej., Mdulo de actualizacin, Exploracin del equipo, etc.). Es recomendable exportar la configuracin creada a un archivo xml que luego podr usar, por ej., al crear un paquete de instalacin, aplicar una Tarea de configuracin o una Poltica. 3) Haga clic en Cerrar. En la siguiente ventana de dilogo (Desea guardar los paquetes en el servidor?) seleccione S y escriba el nombre del paquete de instalacin. El paquete de instalacin finalizado (incluyendo el nombre y la configuracin) se guardar en el servidor. En la mayora de los casos, este paquete se usa para realizar instalaciones impulsadas, pero tambin es posible guardarlo como un paquete de instalacin msi estndar y usarlo en una instalacin directa en el servidor (en el Editor de paquetes de instalacin > Guardar como...).

    13

    4) Ahora que ya est listo el paquete de instalacin, puede iniciar la instalacin remota en los nodos de un clster. En la pestaa Instalacin remota de ERA, Equipos, seleccione los nodos en donde desea instalar ESET Mail Security (Ctrl + clic izquierdo o Mays + clic izquierdo). Haga un clic derecho en cualquier equipo seleccionado y elija la opcinInstalacin impulsada del men contextual. Usando los botones Establecer/Establecer todos, establezca el Nombre de usuario y la Contrasea de un usuario en el equipo de destino (debe ser un usuario con derechos de administrador). Haga clic en Siguiente para elegir el paquete de instalacin e inicie el proceso de instalacin remota haciendo clic en Finalizar. El paquete de instalacin que contiene ESET Mail Security con las opciones de configuracin personalizadas se instalarn en los equipos o nodos de destino seleccionados. En poco tiempo, los clientes con ESET Mail Security aparecern en la pestaa Clientes de ERA. Ahora ya puede administrar los clientes en forma remota. NOTA: Para un proceso de instalacin remota sin problemas, es necesario que tanto los equipos de destino como el ERA Server cumplan con ciertas condiciones. Para obtener ms detalles, consulte la Gua para el usuario de ESET Remote Administrator.

    Configuracin Para que ESET Mail Security funcione correctamente en los nodos de un clster, todos los nodos siempre deben tener la misma configuracin. Si se sigui el mtodo de instalacin impulsada como se explica arriba, se cumple esta condicin. Sin embargo, hay una posibilidad de que se cambie la configuracin por error, lo que provoca inconsistencias entre los productos de ESET Mail Security dentro de un clster. Puede prevenirlo usando una poltica en ERA. Una poltica es muy similar a una tarea de configuracin estndar: enva a los clientes la configuracin definida en el Editor de configuracin. Una poltica difiere de una tarea de configuracin porque se aplica a los clientes en forma continua. Por lo tanto, se puede definir una poltica como una configuracin que se impone regularmente a un cliente o grupo de clientes. En ERA > Herramientas > Administrador de polticas..., hay varias opciones sobre cmo usar una poltica. La opcin ms sencilla es usar laPoltica principal predeterminada que tambin suele servir como Poltica predeterminada para clientes principales. Este tipo de poltica se aplica en forma automtica a todos los clientes actualmente conectados (en este caso, a todos los productos de ESET Mail Security dentro de un clster). Puede configurar la poltica haciendo clic en Editar..., o utilizar la configuracin existente guardada en el archivo xml, si ya ha creado uno. La segunda opcin es crear una nueva poltica (Agregar nueva poltica secundaria) y usar la opcin Agregar clientes... para asignar todos los productos de ESET Mail Security a esta poltica. Esta configuracin asegura que se aplique una nica poltica con la misma configuracin a todos los clientes. Si desea modificar la configuracin existente de un servidor de ESET Mail Security en un clster, ser suficiente con editar la poltica actual. Los cambios se aplicarn a todos los clientes asignados a esta poltica. NOTA: Para obtener informacin ms detallada sobre las polticas, consulte la Gua para el usuario de ESET Remote Administrator.

    2.6 Licencia
    Un paso muy importante es ingresar la licencia de ESET Mail Security para Microsoft Exchange Server. Sin ella, la proteccin del correo electrnico en el servidor Microsoft Exchange Server no funcionar correctamente. Si no agrega el archivo de licencia durante la instalacin, puede hacerlo luego en la configuracin avanzada, en Varios > Licencias. ESET Mail Security permite usar varias licencias en forma simultnea combinndolas, como se describe a continuacin: 1) Se combinan dos o ms licencias del mismo cliente (es decir, licencias asignadas al mismo nombre de cliente) y la cantidad de buzones de correo explorados se incrementa en dicha cantidad. El administrador de licencias continuar mostrando ambas licencias.

    14

    2) Se combinan dos o ms licencias de distintos clientes. Esto ocurre exactamente de la misma forma que en el primer caso (el punto 1 explicado arriba), con la nica diferencia de que al menos una de las licencias en cuestin debe tener un atributo especial. Dicho atributo se requiere para combinar licencias de distintos clientes. Si est interesado en usar dicha licencia, pdale a su distribuidor local que la genere para usted. NOTA: El perodo de validez de la nueva licencia creada est determinado por la primera fecha de vencimiento entre todas las licencias que la constituyen.

    ESET Mail Security para Microsoft Exchange Server (EMSX) compara la cantidad de buzones de correo para el directorio activo con la cantidad permitida por la licencia. Cada directorio activo del servidor Exchange Server se verifica para determinar la cantidad total de buzones de correo. Los buzones de correo del sistema, los buzones de correo desactivados y los alias de correo electrnico no se incluyen en la cuenta de buzones de correo. En un entorno de clster, los nodos con rol de buzn de correo en clster tampoco se incluyen en la cuenta de buzones de correo. Para determinar cuntos buzones de correo habilitados de Exchange tiene, abra Usuarios y equipos de Active Directory en el servidor. Haga un clic derecho en el dominio y haga clic en Buscar.... A continuacin, desde el men desplegable Buscar, seleccione Bsqueda personalizada y haga clic en la pestaa Avanzado. Pegue la siguiente solicitud de Protocolo ligero de acceso a directorios (LDAP) y haga clic en Buscar ahora:
    (&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(! (name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(! userAccountControl:1.2.840.113556.1.4.803:=2))

    Si la cantidad de buzones de correo en el directorio activo excede la cantidad permitida por la licencia, se ingresar
    15

    el siguiente mensaje en el registro de Microsoft Exchange Server: "Cambi el estado de proteccin debido a que la cantidad de buzones de correo (cantidad) excede el lmite permitido por su licencia (cantidad)". Asimismo, ESET Mail Security notificar el problema cambiando el cono del Estado de proteccin al color NARANJA y mostrando un mensaje donde le informar que le quedan 42 das antes de que se deshabilite la proteccin. Si recibe esta notificacin, pngase en contacto con su representante de ventas para adquirir las licencias adicionales. Si transcurre el perodo de 42 das y no agreg las licencias requeridas para cubrir los buzones de correo excedentes, el Estado de proteccin cambiar al color ROJO. El mensaje le informar que su proteccin est deshabilitada. Si recibe esta notificacin, pngase en contacto inmediatamente con su representante de ventas para adquirir las licencias adicionales.

    16

    2.7 Configuracin posterior a la instalacin


    Despus de la instalacin del producto, es necesario configurar varias opciones. Configuracin de la proteccin antispam Esta seccin describe las opciones de configuracin, los mtodos y tcnicas que se pueden utilizar para proteger su red del spam. Se recomienda leer cuidadosamente las siguientes instrucciones antes de elegir la combinacin de opciones de configuracin ms apropiada para su red. Administracin de spam Para asegurar que el nivel de proteccin antispam sea alto, debe establecer las acciones que se aplicarn a los mensajes ya marcados como SPAM. Hay tres opciones disponibles: 1. Eliminacin de los mensajes de spam Los criterios que usa ESET Mail Security para marcar un mensaje como SPAM son razonablemente estrictos, lo que reduce las posibilidades de eliminar los correos electrnicos legtimos. Cuanto ms especfica sea la configuracin del antispam, la probabilidad de eliminar correos electrnicos legtimos ser menor. Las ventajas de este mtodo incluyen un consumo muy bajo de recursos del sistema y menos administracin. La desventaja es que, si se elimina un correo electrnico legtimo, no puede restaurarse en forma local. 2. Cuarentena Esta opcin elimina el riesgo de borrar correos electrnicos legtimos. Los mensajes pueden restaurarse y volver a enviarse a los destinatarios originales de inmediato. Las desventajas de este mtodo son el mayor consumo de recursos del sistema y el tiempo adicional requerido para el mantenimiento de la cuarentena de correo electrnico. Existen dos mtodos para poner un correo electrnico en cuarentena: A. Cuarentena del servidor interno Exchange Server (aplicable solo para Microsoft Exchange Server 2007/2010): - Si desea usar la cuarentena del servidor interno, asegrese de que el campo Cuarentena comn de mensajes en el panel derecho del men de configuracin avanzada (debajo de Proteccin del servidor > Cuarentena de mensajes) quede vaco. Tambin corrobore que est seleccionada la opcin Poner mensaje en cuarentena en el sistema del servidor de correo en el men desplegable ubicado en la parte inferior. Este mtodo solo funciona si existe la cuarentena interna de Exchange. En forma predeterminada, esta cuarentena interna de Exchange no est activada. Para activarla, es necesario abrir la Consola de administracin de Exchange y escribir el siguiente comando: Set-ContentFilterConfig -QuarantineMailbox nombre@dominio.com (reemplace nombre@dominio.com por el buzn de correo real que Microsoft Exchange usar como buzn de correo interno para la cuarentena, por ej., exchangequarantine@empresa.com B. Buzn de correo de cuarentena personalizado: - Si escribe el buzn de correo deseado en el campo Cuarentena comn de mensajes, ESET Mail Security enviar todos los mensajes nuevos de spam a dicha casilla personalizada. Para conocer ms detalles sobre la Cuarentena y los distintos mtodos, consulte el captulo Cuarentena de mensajes 26 . 3. Reenvo de spam El spam se reenviar al destinatario. No obstante, ESET Mail Security completar el encabezado MIME pertinente de cada mensaje con el valor de SCL. Segn el valor de SCL, el filtro de mensajes inteligente (IMF) del servidor Exchange Server ejecutar la accin relevante.

    17

    Filtrado de spam Motor antispam El motor antispam ofrece las siguientes tres configuraciones: Recomendado, Ms preciso y Ms veloz. Si no hay necesidad de optimizar su configuracin para permitir la tasa mxima de rendimiento (por ej., una gran carga en el servidor), se recomienda seleccionar la opcin Ms preciso. Cuando se establece la configuracin Recomendado, el servidor ajusta automticamente su configuracin basndose en los mensajes explorados para equilibrar la carga. Al habilitar Ms preciso, las opciones de configuracin se optimizan de acuerdo al ndice de captura de spam. Cuando se hace clic en Personalizado > Abrir el archivo de configuracin, se puede editar el archivo spamcatcher.conf 43 . La opcin se recomienda nicamente para usuarios avanzados. Antes de iniciar el funcionamiento a pleno, es recomendable configurar manualmente las listas de direcciones IP restringidas y permitidas. Para ello: 1) Abra la ventana de configuracin avanzada y vaya a la seccin Proteccin antispam. Asegrese de seleccionar el campo Habilitar la proteccin antispam del servidor. 2) Vaya a la seccin Motor antispam. 3) Haga clic en el botn Configurar... para configurar las listas de Direcciones IP permitidas, ignoradas y bloqueadas. La pestaa Direcciones IP bloqueadas contiene la lista de direcciones IP restringidas, es decir, si cualquier direccin IP no ignorada en Encabezados recibidos coincide con la direccin de la lista, el mensaje recibe un puntaje de 100 y no se sigue verificando. La pestaa Direcciones IP permitidas contiene la lista de direcciones IP aprobadas, es decir, si la primera direccin IP no ignorada en Encabezados recibidos coincide con cualquier direccin de la lista, el mensaje recibe un puntaje de 0 y no se sigue verificando. La pestaa Direcciones IP ignoradas contiene las direcciones que deben ignorarse durante las verificaciones de listas de bloqueo en tiempo real (RBL). La lista debe incluir todas las direcciones IP internas en el firewall que no sean accesibles directamente desde Internet. De esta forma, se evita hacer verificaciones innecesarias y se ayuda a diferenciar entre las direcciones IP externas de las internas.

    Creacin de listas grises La creacin de listas grises es un mtodo para proteger a los usuarios del spam mediante la tcnica que se explica a continuacin: El agente de transporte enva un valor devuelto SMTP de "rechazo temporal" (el predeterminado es 451/4.7.1) por cualquier correo electrnico de un remitente que no conozca. Un servidor legtimo intentar volver a enviar el mensaje. Por lo general, los remitentes de mensajes no deseados no intentan reenviar los mensajes porque hacen envos a miles de direcciones de correo electrnico por vez y no suelen perder tiempo extra reenviando el spam. Al evaluar la fuente del mensaje, el mtodo tiene en cuenta la configuracin de las listas de Direcciones IP aprobadas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP en el servidor de Exchange, as como la configuracin de la propiedad Omitir antispam para el buzn de correo del destinatario. La funcin de creacin de listas grises debe configurarse en forma minuciosa; de lo contrario pueden producirse fallas de funcionamiento (como demoras en las distribuciones de mensajes legtimos, etc.). Los efectos negativos disminuyen a medida que este mtodo va completando la lista blanca interna con conexiones de confianza. Si no est familiarizado con este mtodo o si considera que los efectos secundarios negativos son inaceptables, se recomienda deshabilitarlo en el men de configuracin avanzada, bajo Proteccin antispam > Microsoft Exchange Server > Agente de transporte > Habilitar las listas grises. Es recomendable deshabilitar la creacin de listas grises si pretende evaluar las funciones bsicas del producto y no desea configurar las caractersticas avanzadas del programa. NOTA: La creacin de listas grises es una capa adicional de proteccin antispam y no produce ningn efecto en la capacidad del mdulo antispam para evaluar spam.

    18

    Configuracin de la proteccin antivirus Cuarentena Segn el tipo de modo de desinfeccin que est utilizando, se recomienda configurar la accin que se realizar con los mensajes infectados (no desinfectados). La opcin se puede configurar en la ventana de configuracin avanzada Proteccin del servidor > Antivirus y antispyware > Microsoft Exchange Server > Agente de transporte. Si la opcin para mover los mensajes a la cuarentena de correo electrnico est habilitada, debe configurar la cuarentena desde Proteccin del servidor > Cuarentena de mensajesen la ventana de configuracin avanzada. Rendimiento Si no hay otras restricciones, se recomienda incrementar la cantidad de motores de exploracin ThreatSense en la ventana de configuracin avanzada (F5), en Proteccin del servidor > Antivirus y antispyware > Microsoft Exchange Server > VSAPI > Rendimiento, segn la siguiente frmula: cantidad de subprocesos explorados = (cantidad de CPU fsicas x 2) + 1. Adems, la Cantidad de subprocesos de exploracin debe ser igual a la cantidad de motores de exploracin ThreatSense. Puede configurar la cantidad de motores de exploracin en Proteccin del equipo > Antivirus y antispyware > Rendimiento. A continuacin se muestra un ejemplo: Supongamos que usted tiene un servidor con 4 CPU fsicas. Para el mejor rendimiento posible, segn la frmula indicada arriba, debera tener 9 subprocesos de exploracin y 9 motores de exploracin. NOTA: Es recomendable que establezca la misma cantidad de motores de exploracin ThreatSense que la cantidad de subprocesos de exploracin utilizados. Si usa ms subprocesos de exploracin que motores de exploracin, no tendr ningn efecto en el rendimiento NOTA: Si est utilizando ESET Mail Security en un servidor Windows que funciona como Terminal Server y no quiere que la interfaz grfica del usuario de ESET Mail Security se abra cada vez que se registre un usuario, consulte el captulo Deshabilitacin de la interfaz grfica del usuario en Terminal Server 109 para ver los pasos especficos para deshabilitarla.

    19

    3. ESET Mail Security - proteccin de Microsoft Exchange Server


    ESET Mail Security ofrece una proteccin significativa para Microsoft Exchange Server. Hay tres tipos esenciales de proteccin: antivirus, antispam y la aplicacin de reglas definidas por el usuario. ESET Mail Security protege ante diversos tipos de contenido malicioso, incluyendo archivos adjuntos de correo electrnico infectados por gusanos o troyanos, documentos que contienen scripts dainos, phishing y spam. ESET Mail Security filtra el contenido malicioso en el nivel del servidor de correo, antes de que llegue al cliente de correo electrnico y al buzn de entrada del destinatario. Los prximos captulos describen las opciones y configuraciones disponibles para que el usuario ajuste la proteccin de Microsoft Exchange Server.

    3.1 Configuracin general


    Esta seccin explica cmo administrar las reglas, los archivos de registro, la cuarentena de mensajes y los parmetros de rendimiento. 3.1.1 Microsoft Exchange Server 3.1.1.1 VSAPI (Interfaz de programacin para aplicaciones de deteccin de virus) Microsoft Exchange Server proporciona un mecanismo para asegurarse de que cada componente de un mensaje se explore segn la base de datos de firmas de virus actual. Si un componente de un mensaje no est explorado, el componente correspondiente se enva al mdulo de exploracin antes de distribuir el mensaje al cliente. Cada versin soportada de Microsoft Exchange Server (5.5/2000/2003/2007/2010) ofrece una versin diferente de VSAPI. Utilice la casilla de verificacin para habilitar/deshabilitar el inicio automtico de la versin de VSAPI usada por su servidor Exchange Server. 3.1.1.2 Agente de transporte Esta seccin permite configurar el agente de transporte para que se inicie automticamente y establecer la prioridad de carga del agente. En Microsoft Exchange Server 2007 y versiones posteriores, solo es posible instalar un agente de transporte si el servidor se encuentra en uno de estos dos roles: Transporte Edge o Transporte Hub.

    NOTA: El agente de transporte no est disponible en Microsoft Exchange Server 5.5 (VSAPI 1.0). En el men Configuracin de la prioridad del agente, puede seleccionar la prioridad de los agentes de ESET Mail
    20

    Security. El rango del nmero de la prioridad del agente depende de la versin de Microsoft Exchange Server (cuanto ms bajo es el nmero, la prioridad es mayor). Escribir el nivel de confianza contra spam (SCL) en el encabezado de los mensajes explorados segn el puntaje de spam: el SCL es un valor normalizado que se asigna a los mensajes para indicar la probabilidad que tienen de ser spam (basndose en las caractersticas del encabezado, asunto y contenido del mensaje, entre otras cosas). El valor 0 indica que el mensaje prcticamente no tiene probabilidades de ser spam, mientras que el valor 9 indica que es muy posible que lo sea. El filtro inteligente de mensajes de Microsoft Exchange Server (o el agente de filtrado de contenido) pueden seguir procesando los valores del SCL. Para obtener ms informacin, consulte la documentacin de Microsoft Exchange Server. Al eliminar mensajes, enviar una respuesta SMTP de rechazo: Si esta opcin no est seleccionada, el servidor enva una respuesta SMTP de aceptacin al Agente de transferencia de correo (MTA) con el formato '250 2.5.0 - Se acept y complet la accin solicitada para el correo' y luego realiza una colocacin silenciosa. Si esta opcin est seleccionada, se enva una respuesta SMTP de rechazo al MTA del remitente. Puede escribir un mensaje de respuesta con el siguiente formato: Cdigo de respuesta primaria 250 451 550 Cdigo de estado secundario 2.5.0 4.5.1 5.5.0 Descripcin Se acept y complet la accin solicitada para el correo Se anul la accin solicitada: error local de procesamiento No se ejecut la accin solicitada: buzn de correo no disponible

    Advertencia: La sintaxis incorrecta en los cdigos de respuesta SMTP puede provocar que los componentes del programa no funcionen correctamente y que disminuya la eficacia. NOTA: Cuando configure las respuestas SMTP de rechazo, tambin puede utilizar variables del sistema.

    21

    3.1.2 Reglas El elemento del men Reglas permite a los administradores definir manualmente las condiciones de filtrado de correo electrnico y las acciones que se deben realizar con los mensajes de correo electrnico filtrados. Las reglas se aplican en funcin de un grupo de condiciones combinadas. Las condiciones se combinan con el operador lgico AND, de modo que la regla slo se aplica cuando se cumplen todas las condiciones. La columna Nmero (al lado de cada nombre de regla) muestra la cantidad de veces que se aplic la regla correctamente. Las reglas se verifican con respecto a un mensaje cuando el agente de transporte o la interfaz VSAPI lo procesan. Si tanto el agente de transporte como VSAPI estn habilitados y el mensaje concuerda con las condiciones de la regla, el contador de la regla puede incrementarse en dos o ms puntos. Esto se debe a que la interfaz VSAPI accede a cada parte del mensaje en forma individual (cuerpo, archivo adjunto); en consecuencia, las reglas se aplican a cada parte independientemente. Las reglas tambin pueden aplicarse durante una exploracin en segundo plano (por ej., la exploracin reiterada del almacn de buzones de correo tras una actualizacin de la base de datos de firmas de virus), lo que aumenta el valor del contador de la regla.

    Agregar... : agrega una nueva regla Editar... : modifica una regla existente Quitar: quita una regla seleccionada Borrar: borra el contador de reglas (la columna Nmero) Subir: mueve la regla seleccionada hacia arriba en la lista Bajar: mueve la regla seleccionada hacia abajo en la lista Cuando se anula la seleccin de una casilla de verificacin (a la izquierda de cada nombre de regla), se desactiva la regla actual. Esto permite que la regla pueda volver a reactivarse si es necesario. NOTA: En la configuracin de las reglas, tambin puede utilizar variables del sistema (por ej., %PATHEXT%). NOTA: Si se agreg una nueva regla o se modific una regla existente, se iniciar en forma automtica una nueva exploracin de los mensajes usando las reglas nuevas o modificadas.

    22

    3.1.2.1 Agregado de una nueva regla Este asistente lo guiar para agregar reglas especificadas por el usuario con condiciones combinadas.

    NOTA: No todas las condiciones son aplicables cuando el agente de transporte explora el mensaje. Por buzn de correo de destino: se aplica al nombre de un buzn de correo (VSAPI) Por destinatario del mensaje: se aplica a un mensaje enviado a un destinatario especificado (VSAPI + TA) Por remitente del mensaje: se aplica a un mensaje enviado por un remitente especificado (VSAPI + TA) Por asunto del mensaje: se aplica a un mensaje con una lnea de asunto especificado (VSAPI + TA) Por cuerpo del mensaje: se aplica a un mensaje cuyo cuerpo contiene un texto especfico (VSAPI) Por nombre del archivo adjunto: se aplica a un mensaje con un nombre de archivo adjunto especfico (VSAPI) Por tamao del archivo adjunto: se aplica a un mensaje con un archivo adjunto que excede el tamao definido (VSAPI) Por frecuencia de repeticin: se aplica a los objetos (cuerpo del correo electrnico o archivo adjunto) para los cuales la cantidad de repeticiones dentro del intervalo de tiempo especificado excede el nmero ingresado (VSAPI + TA). Esto es especialmente til si recibe con mucha frecuencia mensajes de spam con el mismo cuerpo de correo electrnico o archivo adjunto. Al especificar las condiciones mencionadas arriba (excepto la condicin Por tamao del archivo adjunto), alcanza con ingresar solo una parte de la frase, siempre y cuando la opcin Coincidir palabras completas no est seleccionada. Los valores no distinguen maysculas de minsculas, a menos que la opcin Coincidir maysculas y minsculas est seleccionada. Si utiliza valores que no sean caracteres alfanumricos, encirrelos entre parntesis y comillas. Tambin puede crear condiciones con los operadores lgicos AND, OR y NOT. NOTA: La lista de reglas disponibles depende de la versin instalada de Microsoft Exchange Server. NOTA: Microsoft Exchange Server 2000 (VSAPI 2.0) nicamente evala el nombre del remitente/destinatario y no la direccin de correo electrnico. Las direcciones de correo electrnico se evalan a partir de Microsoft Exchange Server 2003 (VSAPI 2.5) y versiones posteriores. Ejemplo de ingreso de condiciones: Por buzn de correo de perez destino: Por remitente del perez@correo.com mensaje: Por destinatario del "J.Prez" OR "perez@correo.com" mensaje: Por asunto del mensaje: " " Por nombre de archivo ".com" OR ".exe" adjunto: Por cuerpo del mensaje: ("gratis" OR "lotera") AND ("ganar" OR "comprar")

    23

    3.1.2.2 Acciones emprendidas en la aplicacin de reglas Esta seccin permite seleccionar las acciones que se realizarn con los mensajes y/o archivos adjuntos que concuerden con las condiciones definidas en las reglas. Es posible no realizar ninguna accin, marcar el mensaje como si tuviera una amenaza o como si fuera spam, o eliminar el mensaje completo. Cuando un mensaje o su archivo adjunto coincide con las condiciones de la regla, no se explora con el mdulo antivirus o antispam en la forma predeterminada, a menos que la exploracin se habilite expresamente seleccionando las casillas de verificacin respectivas en la parte inferior (entonces, la accin depender de la configuracin antivirus/antispam).

    Sin accin: no se realizar ninguna accin con el mensaje Realizar accin para amenazas no desinfectadas: se marcar el mensaje como si tuviera una amenaza no desinfectada (independientemente de si contiene una amenaza o no) Realizar accin para el correo electrnico no solicitado: se marcar el mensaje como si fuera spam (independientemente de si lo es o no). Esta opcin no est disponible si usa ESET Mail Security sin el mdulo antispam. Eliminar mensaje: elimina por completo el mensaje cuyo contenido cumple las condiciones Poner el archivo en cuarentena: pone los archivos adjuntos en cuarentena NOTA: No confunda esta opcin con la cuarentena de correo (ver el captulo Cuarentena de mensajes 26 ) Enviar el archivo para su anlisis: enva los archivos adjuntos sospechosos al laboratorio de ESET para su anlisis Enviar notificacin de sucesos: enva una notificacin al administrador (de acuerdo con la configuracin en Herramientas > Alertas y notificaciones) Registrar: ingresa informacin sobre la regla aplicada en el registro del programa Evaluar otras reglas: permite utilizar otras reglas para la evaluacin y habilita al usuario a definir varios grupos de condiciones y varias acciones a seguir, segn las condiciones Explorar con la proteccin antivirus y antispyware: explora el mensaje y sus archivos adjuntos en busca de amenazas Explorar con la proteccin antispam: explora el mensaje en busca de spam NOTA: Esta opcin slo est disponible en Microsoft Exchange Server 2000 y versiones posteriores cuando el agente de transporte est activado. El ltimo paso del asistente de creacin de reglas nuevas consiste en asignar un nombre a cada regla creada. Tambin puede agregar un Comentario de regla. Esta informacin se almacenar en el registro de Microsoft Exchange Server.

    24

    3.1.3 Archivos de registro La configuracin de los archivos de registro permite elegir qu datos se recopilarn en el archivo de registro. Aunque un protocolo ms detallado puede contener ms informacin, quiz provoque demoras en el rendimiento del servidor.

    Si la Escritura sincronizada sin usar el cach est habilitada, todas las entradas de registro se escribirn de inmediato en el archivo de registro sin almacenarse en el registro del cach. En forma predeterminada, los componentes de ESET Mail Security que se ejecutan en Microsoft Exchange Server almacenan mensajes de registro en su cach interno y los envan al registro de la aplicacin en intervalos peridicos de tiempo para conservar el rendimiento. Sin embargo, en este caso, es posible que las entradas de diagnstico en el registro no estn en el orden correcto. Es recomendable mantener esta configuracin desactivada a menos que sea necesaria para efectuar diagnsticos. Puede especificar el tipo de informacin almacenada en los archivos de registro en el men Contenido. Registrar la aplicacin de la regla: cuando esta opcin est habilitada, ESET Mail Security escribe el nombre de todas las reglas activadas en el archivo de registro. Registrar el puntaje de spam: use esta opcin para que la actividad relacionada con el spam se escriba en el Registro antispam 87 . Cuando el servidor de correo reciba un mensaje de spam, la informacin correspondiente se escribe en el registro, incluyendo detalles como Hora/Fecha, Remitente, Destinatario, Asunto, Puntaje de SPAM, Motivo y Accin. Resulta til cuando es necesario conocer qu mensajes de SPAM se recibieron, cundo y qu accin se llev a cabo. Registrar la actividad de las listas grises: habilite esta opcin si desea que la actividad relacionada con las listas grises se escriba en el Registro de listas grises 87 . Proporciona informacin como Fecha/Hora, Dominio HELO, Direccin IP, Remitente, Destinatario, Accin, etc. NOTA: Esta funcin solo funciona cuando la creacin de listas grises est habilitada en las opciones del Agente de transporte 39 , que se encuentran en Proteccin del servidor > Proteccin antispam > Microsoft Exchange Server > Agente de transporte, en el rbol de configuracin avanzada (F5). Registrar el rendimiento: registra informacin sobre el intervalo de tiempo de una tarea realizada, el tamao del objeto explorado, la tasa de transferencia (KB/s) y la tasa de rendimiento. Registrar la informacin de diagnstico: registra la informacin de diagnstico requerida para ajustar el programa en conformidad con el protocolo; esta opcin sirve principalmente para la depuracin y la
    25

    identificacin de problemas. No se recomienda tener esta opcin activada. Para ver la informacin de diagnstico proporcionada por dicha funcin, deber establecer el Nivel de detalle mnimo para los registros en Historiales de diagnstico, en la configuracin de Herramientas > Archivos de registro > Nivel de detalle mnimo para los registros. 3.1.4 Cuarentena de mensajes La Cuarentena de mensajes es un buzn de correo especial definido por el administrador del sistema para almacenar mensajes potencialmente infectados y SPAM. Los mensajes almacenados en cuarentena se pueden explorar o desinfectar posteriormente con una base de datos de firmas de virus ms reciente.

    Hay dos tipos de sistemas de cuarentena de mensajes que se pueden usar. Una opcin es usar el sistema de cuarentena de Microsoft Exchange (solo se aplica para Microsoft Exchange Server 2007/2010). En este caso, el mecanismo interno de Exchange se usa para almacenar mensajes potencialmente infectados y SPAM. En forma adicional, si es necesario puede agregar un buzn de correo de cuarentena separado (o ms de uno) para destinatarios especficos. Esto significa que los mensajes potencialmente infectados, originalmente enviados a un destinatario especfico, se remitirn a un buzn de correo de cuarentena separado en lugar de enviarse al buzn de correo de cuarentena interno de Exchange. En algunos casos, esto puede resultar til para mantener ms organizados los mensajes potencialmente infectados y el SPAM. Otra opcin es usar la Cuarentena comn de mensajes. Si est usando una versin anterior de Microsoft Exchange Server (5.5, 2000 o 2003), simplemente especifique Cuarentena comn de mensajes, que es un buzn de correo donde se almacenan mensajes potencialmente infectados. En este caso, el sistema de cuarentena interno de Exchange no se usa. En cambio, se usa un buzn de correo especificado por el administrador del sistema con este propsito. Como ocurre con la primera opcin, se puede agregar un buzn de correo de cuarentena separado (o ms de uno) para destinatarios especficos. El resultado es que los mensajes potencialmente infectados se envan a un buzn de correo separado en lugar de enviarse a la cuarentena comn de mensajes.

    26

    Cuarentena comn de mensajes: aqu puede especificar la direccin de la cuarentena comn de mensajes (por ej., cuarentena_principal@empresa.com), o alternativamente puede usar el sistema de cuarentena interno de Microsoft Exchange Server 2007/2010 dejando este campo vaco y seleccionando Poner mensaje en cuarentena en el sistema del servidor de correo en el men desplegable ubicado en la parte inferior (siempre y cuando exista la cuarentena de Exchange en el entorno). Luego, los correos electrnicos se envan a la cuarentena mediante el mecanismo interno de Exchange, usando su propia configuracin. NOTA: En forma predeterminada, esta cuarentena interna de Exchange no est activada. Para activarla, es necesario abrir la Consola de administracin de Exchange y escribir el siguiente comando: Set-ContentFilterConfig -QuarantineMailbox nombre@dominio.com (reemplace nombre@dominio.com por el buzn de correo real que Microsoft Exchange usar como buzn de correo interno para la cuarentena, por ej., cuarentenaexchange@empresa.com) Cuarentena de mensajes por destinatario: al usar esta opcin, puede definir los buzones de correo de la cuarentena de mensajes para varios destinatarios. Todas las reglas de cuarentena se pueden habilitar o deshabilitar desde la casilla de verificacin situada en su fila. Agregar... : para agregar una regla de cuarentena nueva, ingrese la direccin de correo electrnico del destinatario y la direccin de correo electrnico de cuarentena a la que se enviar el mensaje. Editar... : editar una regla de cuarentena seleccionada Quitar: quitar una regla de cuarentena seleccionada Preferir cuarentena de mensaje comn: si se habilita esta opcin, el mensaje se enviar a la cuarentena comn especificada si se cumple ms de una regla de cuarentena (por ej., si un mensaje tiene varios destinatarios y algunos de ellos se definen en varias reglas de cuarentena).

    Mensaje destinado a una cuarentena de mensajes inexistente (si no especific una cuarentena comn de mensajes, tiene las siguientes opciones con respecto a qu accin se puede llevar a cabo con los mensajes posiblemente infectados y el SPAM) Sin accin: el mensaje se procesar de la manera estndar; se enviar al destinatario (no recomendado) Eliminar mensaje: el mensaje se eliminar si est dirigido a un destinatario sin una regla de cuarentena existente y si no se especific la cuarentena comn de mensajes; esto significa que todos los mensajes posiblemente infectados y el SPAM se eliminarn automticamente sin guardarse en ninguna parte Poner mensaje en cuarentena en el sistema del servidor de correo: el mensaje se enviar al sistema de cuarentena interno de Exchange y se guardar all (no disponible para Microsoft Exchange Server 2003 y versiones anteriores) NOTA: Al configurar las opciones de la cuarentena de mensajes, tambin puede utilizar variables del sistema (por ej., %USERNAME%). 3.1.4.1 Agregado de una nueva regla de cuarentena Ingrese la direccin de Correo electrnico del destinatario y la direccin de Correo electrnico para cuarentena deseada en los campos correspondientes. Si desea eliminar un mensaje de correo electrnico dirigido a un destinatario que no cuenta con una regla de cuarentena aplicada, puede seleccionar la opcin Eliminar el mensaje en el men desplegable Mensaje destinado a una cuarentena de mensajes inexistente:.

    27

    3.1.5 Rendimiento En esta seccin, puede definir la carpeta donde se almacenarn los archivos temporales para mejorar el rendimiento del programa. Si no hay ninguna carpeta especificada, ESET Mail Security crear los archivos temporales en la carpeta temporal del sistema. NOTA: Para reducir el impacto potencial de la entrada/salida y la fragmentacin, se recomienda ubicar la carpeta temporal en un disco rgido diferente al que tenga instalado Microsoft Exchange Server. Recomendamos firmemente evitar asignar la carpeta temporal a medios extrables, como disquetes, USB, DVD, etc. NOTA: Puede utilizar variables del sistema al configurar los ajustes de rendimiento, (por ej., %SystemRoot%\TEMP).

    3.2 Configuracin antivirus y antispyware


    Puede habilitar la proteccin antivirus y antispyware del servidor de correo seleccionando la opcin Habilitar la proteccin antivirus y antispyware del servidor. Tenga en cuenta que la proteccin antivirus y antispyware se activa en forma automtica cada vez que se reinicia el servicio/equipo. Se puede acceder a la configuracin de los parmetros del motor ThreatSense haciendo clic en el botn Configuracin....

    3.2.1 Microsoft Exchange Server Cuando se trata de la proteccin antivirus y antispyware, ESET Mail Security para Microsoft Exchange Server usa dos clases de exploracin. Una explora los mensajes a travs de VSAPI y la otra usa el agente de transporte. La proteccin mediante VSAPI
    29

    explora los mensajes directamente dentro del almacn de Exchange Server.

    El agente de transporte 35 explora el trfico SMTP en vez de hacerlo en el almacn de Exchange Server. Si este tipo de proteccin est habilitada, significa que todos los mensajes y sus componentes se exploran durante el transporte, incluso antes de que lleguen al almacn de Exchange Server o antes de que se distribuyan mediante SMTP. El filtrado en el nivel del servidor SMTP se asegura mediante el uso de un complemento especial. En Microsoft Exchange Server 2000 y 2003, el complemento en cuestin (Receptor de sucesos) se registra en el servidor SMTP como parte de Internet Information Services (IIS). En Microsoft Exchange Server 2007/2010, el complemento se registra como un agente de transporte en el rol Edge o Hub de Microsoft Exchange Server. NOTA: El agente de transporte no est disponible en Microsoft Exchange Server 5.5; sin embargo, est disponible en todas las versiones ms actuales de Microsoft Exchange Server (desde la versin 2000 en adelante).
    28

    Es posible que la interfaz VSAPI y el agente de transporte de la proteccin antivirus y antispyware funcionen al mismo tiempo (es la configuracin predeterminada y recomendada). Como alternativa, puede elegir usar un sola proteccin (ya sea VSAPI o el agente de transporte). Cada una puede habilitarse o deshabilitarse en forma independiente. Es recomendable usar los dos tipos para asegurar la mxima proteccin antivirus y antispyware. No es recomendable que ambos estn deshabilitados. 3.2.1.1 Interfaz de programacin para aplicaciones de deteccin de virus (VSAPI) Microsoft Exchange Server proporciona un mecanismo para asegurarse de que cada componente de un mensaje se explore segn la base de datos de firmas de virus actual. Si un mensaje no se explor previamente, los componentes correspondientes se envan al mdulo de exploracin antes de distribuir el mensaje al cliente. Cada versin soportada de Microsoft Exchange Server (5.5/2000/2003/2007/2010) ofrece una versin diferente de VSAPI. 3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0) Esta versin de Microsoft Exchange Server incluye la versin 1.0 de VSAPI. Si la opcin Exploracin en segundo plano est habilitada, permite explorar todos los mensajes como un proceso en segundo plano en el sistema. Microsoft Exchange Server decide si una exploracin en segundo plano se ejecutar o no basndose en diversos factores, como la carga actual del sistema, la cantidad de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes explorados y de la versin de la base de datos de firmas de virus utilizada. Si est abriendo un mensaje que no se explor con la base de datos de firmas de virus ms actual, Microsoft Exchange Server enva el mensaje a ESET Mail Security para su exploracin antes de que el cliente de correo electrnico lo abra. Como la exploracin en segundo plano puede afectar la carga del sistema (la exploracin se realiza luego de cada actualizacin de la base de datos de firmas de virus), es recomendable utilizar las tareas programadas de exploracin fuera de las horas laborales. La exploracin en segundo plano programada se puede configurar mediante la creacin de una tarea especial en la seccin de Tareas programadas. Cuando programa una tarea de exploracin en segundo plano, puede especificar la hora de inicio, la cantidad de repeticiones y otros parmetros disponibles en las Tareas programadas. Luego de haber programado la tarea, sta aparecer en la lista de tareas programadas y, como ocurre con las dems, ser posible modificar sus parmetros, eliminarlas o desactivarla temporalmente. 3.2.1.1.1.1 Acciones En esta seccin puede especificar las acciones que se realizarn cuando un mensaje y/o archivo adjunto se evale como infectado. El campo Accin para realizar cuando no es posible desinfectar permite Bloquear el contenido infectado, Eliminar el mensaje o dejar el contenido infectado intacto en el mensaje, Sin accin alguna. Esta accin solo se aplicar si la desinfeccin automtica (definida en Configuracin de los parmetros del motor ThreatSense > Desinfeccin 69 ) no desinfect el mensaje. El campo Eliminacin permite establecer el Mtodo de eliminacin de archivos adjuntos para realizar una de las siguientes opciones: Truncar el archivo a una longitud de cero: ESET Mail Security trunca el archivo adjunto a un tamao de cero y permite que el destinatario vea el nombre y el tipo de archivo adjunto Reemplazar el archivo adjunto por informacin sobre la accin: ESET Mail Security reemplaza el archivo adjunto con la descripcin de una regla o un protocolo de virus Al hacer clic en el botn Volver a explorar, se ejecutar otra exploracin en los mensajes que ya se haban explorado.

    29

    3.2.1.1.1.2 Rendimiento Durante una exploracin, Microsoft Exchange Server permite limitar el tiempo empleado en abrir los archivos adjuntos de los mensajes. Este perodo se establece en el campo Lmite de tiempo de respuesta (ms) y representa el tiempo tras el cual el cliente volver a intentar acceder al archivo que antes era inaccesible debido a la exploracin en curso. 3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2.0) Esta versin de Microsoft Exchange Server incluye la versin 2.0 de VSAPI. Si anula la seleccin de la opcin Habilitar la proteccin antivirus y antispyware VSAPI 2.0, el complemento de ESET Mail Security para el servidor Exchange Server no se sacar del proceso de Microsoft Exchange Server. Solo pasar los mensajes sin explorarlos en busca de virus. De todas formas, el mensaje s se explorar en busca de spam 39 y se aplicarn las reglas 22 . Si la opcin Exploracin proactiva est habilitada, los nuevos mensajes entrantes se explorarn en el mismo orden en que fueron recibidos. Cuando esta opcin est habilitada y un usuario abre un mensaje an no explorado, dicho mensaje se explorar antes que los dems mensajes de la cola de espera. La opcin Exploracin en segundo plano permite explorar todos los mensajes como un proceso en segundo plano en el sistema. Microsoft Exchange Server decide si una exploracin en segundo plano se ejecutar o no basndose en diversos factores, como la carga actual del sistema, la cantidad de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes explorados y de la versin de la base de datos de firmas de virus utilizada. Si est abriendo un mensaje que no se explor con la base de datos de firmas de virus ms actual, Microsoft Exchange Server enva el mensaje a ESET Mail Security para su exploracin antes de que el cliente de correo electrnico lo abra. Como la exploracin en segundo plano puede afectar la carga del sistema (la exploracin se realiza luego de cada actualizacin de la base de datos de firmas de virus), es recomendable utilizar las tareas programadas de exploracin fuera de las horas laborales. La exploracin en segundo plano programada se puede configurar mediante la creacin de una tarea especial en la seccin de Tareas programadas. Cuando programa una tarea de exploracin en segundo plano, puede especificar la hora de inicio, la cantidad de repeticiones y otros parmetros disponibles en las Tareas programadas. Luego de haber programado la tarea, sta aparecer en la lista de tareas programadas y, como ocurre con las dems, ser posible modificar sus parmetros, eliminarlas o desactivarla temporalmente. Si desea explorar mensajes de texto sin formato, seleccione la opcin Explorar el texto sin formato del cuerpo de los mensajes. Al habilitar la opcin Explorar el cuerpo de los mensajes RTF, se activa la exploracin del cuerpo de los mensajes RTF. El cuerpo de los mensajes RTF pueden contener virus de macro. 3.2.1.1.2.1 Acciones En esta seccin puede especificar las acciones que se realizarn cuando un mensaje y/o archivo adjunto se evale como infectado. El campo Accin para realizar cuando no es posible desinfectar permite Bloquear el contenido infectado, Eliminar el mensaje o dejar el contenido infectado intacto en el mensaje, Sin accin alguna. Esta accin solo se aplicar si la desinfeccin automtica (definida en Configuracin de los parmetros del motor ThreatSense > Desinfeccin 69 ) no desinfect el mensaje. La opcin Eliminacin permite determinar el Mtodo de eliminacin del mensaje y el Mtodo de eliminacin de archivos adjuntos. Puede configurar el Mtodo de eliminacin del mensaje para que realice las siguientes acciones: Eliminar el cuerpo del mensaje: borrar el cuerpo del mensaje infectado; el destinatario recibir el mensaje vaco y todos los archivos adjuntos que no estn infectados Sobrescribir el cuerpo del mensaje con informacin sobre la accin: sobrescribir el cuerpo del mensaje infectado con informacin sobre las acciones realizadas
    30

    Puede configurar el Mtodo de eliminacin de archivos adjuntos para que realice las siguientes acciones: Truncar el archivo a una longitud de cero: ESET Mail Security trunca el archivo adjunto a un tamao de cero y permite que el destinatario vea el nombre y el tipo de archivo adjunto Reemplazar el archivo adjunto por informacin sobre la accin: ESET Mail Security reemplaza el archivo adjunto con la descripcin de una regla o un protocolo de virus Al hacer clic en el botn Volver a explorar, se ejecutar otra exploracin en los mensajes que ya se haban explorado. 3.2.1.1.2.2 Rendimiento En esta seccin puede establecer la cantidad de subprocesos de exploracin que se usan al mismo tiempo. La existencia de ms subprocesos en equipos con varios procesadores puede incrementar la tasa de exploracin. Para obtener el mejor rendimiento, es recomendable usar la misma cantidad de motores de exploracin ThreatSense que subprocesos de exploracin. El Lmite de tiempo de respuesta (seg.) permite establecer el tiempo de espera mximo de un subproceso hasta que finalice la exploracin de un mensaje. Si la exploracin no se termina dentro de el lmite de tiempo especificado, Microsoft Exchange Server denegar el acceso del cliente al correo electrnico. La exploracin no se interrumpir, y cuando se haya finalizado, cada nuevo intento de acceder al archivo ser satisfactorio. SUGERENCIA: Para determinar la Cantidad de subprocesos de exploracin recomendada por el proveedor de Microsoft Exchange Server, utilice la siguiente frmula: [cantidad de procesadores fsicos] x 2 + 1. NOTA: El rendimiento no mejora en forma significativa si hay ms cantidad de motores de exploracin ThreatSense que subprocesos de exploracin. 3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2.5) Esta versin de Microsoft Exchange Server incluye la versin 2.5 de VSAPI. Si anula la seleccin de la opcin Habilitar la proteccin antivirus y antispyware VSAPI 2.5, el complemento de ESET Mail Security para el servidor Exchange Server no se sacar del proceso de Microsoft Exchange Server. Solo pasar los mensajes sin explorarlos en busca de virus. De todas formas, el mensaje s se explorar en busca de spam 39 y se aplicarn las reglas 22 . Si la opcin Exploracin proactiva est habilitada, los nuevos mensajes entrantes se explorarn en el mismo orden en que fueron recibidos. Cuando esta opcin est habilitada y un usuario abre un mensaje an no explorado, dicho mensaje se explorar antes que los dems mensajes de la cola de espera. La opcin Exploracin en segundo plano permite explorar todos los mensajes como un proceso en segundo plano en el sistema. Microsoft Exchange Server decide si una exploracin en segundo plano se ejecutar o no basndose en diversos factores, como la carga actual del sistema, la cantidad de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes explorados y de la versin de la base de datos de firmas de virus utilizada. Si est abriendo un mensaje que no se explor con la base de datos de firmas de virus ms actual, Microsoft Exchange Server enva el mensaje a ESET Mail Security para su exploracin antes de que el cliente de correo electrnico lo abra. Como la exploracin en segundo plano puede afectar la carga del sistema (la exploracin se realiza luego de cada actualizacin de la base de datos de firmas de virus), es recomendable utilizar las tareas programadas de exploracin fuera de las horas laborales. La exploracin en segundo plano programada se puede configurar mediante la creacin de una tarea especial en la seccin de Tareas programadas. Cuando programa una tarea de exploracin en segundo plano, puede especificar la hora de inicio, la cantidad de repeticiones y otros parmetros disponibles en las Tareas programadas. Luego de haber programado la tarea, sta aparecer en la lista de tareas programadas y, como ocurre con las dems, ser posible modificar sus parmetros, eliminarlas o desactivarla temporalmente. Al habilitar la opcin Explorar el cuerpo de los mensajes RTF, se activa la exploracin del cuerpo de los mensajes RTF. El cuerpo de los mensajes RTF pueden contener virus de macro.

    31

    La opcin Explorar los mensajes transportados habilita la exploracin de mensajes que no estn almacenados en el servidor local Microsoft Exchange Server y que se estn distribuyendo a otros servidores de correo electrnico a travs del servidor local Microsoft Exchange Server. El servidor Microsoft Exchange Server se puede configurar como una puerta de enlace, que luego pasar los mensajes a otros servidores de correo electrnico. Si la exploracin para los mensajes transportados est habilitada, ESET Mail Security tambin explora dichos mensajes. Esta opcin solo est disponible cuando el agente de transporte se encuentra deshabilitado. NOTA: VSAPI no explora el cuerpo de los correos electrnicos cuyo texto no tiene formato. 3.2.1.1.3.1 Acciones En esta seccin puede especificar las acciones que se realizarn cuando un mensaje y/o archivo adjunto se evale como infectado. El campo Accin para realizar cuando no es posible desinfectar permite Bloquear el contenido infectado, Eliminar el contenido infectado del mensaje, Eliminar el mensaje completo incluyendo el contenido infectado, o dejar el contenido infectado intacto en el mensaje, Sin accin alguna. Esta accin solo se aplicar si la desinfeccin automtica (definida en Configuracin de los parmetros del motor ThreatSense > Desinfeccin 69 ) no desinfect el mensaje. La opcin Eliminacin permite determinar el Mtodo de eliminacin del mensaje y el Mtodo de eliminacin de archivos adjuntos. Puede configurar el Mtodo de eliminacin del mensaje para que realice las siguientes acciones: Eliminar el cuerpo del mensaje: borrar el cuerpo del mensaje infectado; el destinatario recibir el mensaje vaco y todos los archivos adjuntos que no estn infectados Sobrescribir el cuerpo del mensaje con informacin sobre la accin: sobrescribir el cuerpo del mensaje infectado con informacin sobre las acciones realizadas Eliminar el mensaje completo: eliminar el mensaje completo, incluyendo los archivos adjuntos; es posible determinar qu accin se llevar a cabo al eliminar archivos adjuntos Puede configurar el Mtodo de eliminacin de archivos adjuntos para que realice las siguientes acciones: Truncar el archivo a una longitud de cero: ESET Mail Security trunca el archivo adjunto a un tamao de cero y permite que el destinatario vea el nombre y el tipo de archivo adjunto Reemplazar el archivo adjunto por informacin sobre la accin: ESET Mail Security reemplaza el archivo adjunto con la descripcin de una regla o un protocolo de virus Eliminar el mensaje completo: eliminar el mensaje completo, incluyendo los archivos adjuntos; es posible determinar qu accin se llevar a cabo al eliminar archivos adjuntos Al hacer clic en el botn Volver a explorar, se ejecutar otra exploracin en los mensajes que ya se haban explorado. 3.2.1.1.3.2 Rendimiento En esta seccin puede establecer la cantidad de subprocesos de exploracin que se usan al mismo tiempo. La existencia de ms subprocesos en equipos con varios procesadores puede incrementar la tasa de exploracin. Para obtener el mejor rendimiento, es recomendable usar la misma cantidad de motores de exploracin ThreatSense que subprocesos de exploracin. El Lmite de tiempo de respuesta (seg.) permite establecer el tiempo de espera mximo de un subproceso hasta que finalice la exploracin de un mensaje. Si la exploracin no se termina dentro de el lmite de tiempo especificado, Microsoft Exchange Server denegar el acceso del cliente al correo electrnico. La exploracin no se interrumpir, y cuando se haya finalizado, cada nuevo intento de acceder al archivo ser satisfactorio. SUGERENCIA: Para determinar la Cantidad de subprocesos de exploracin recomendada por el proveedor de Microsoft Exchange Server, utilice la siguiente frmula: [cantidad de procesadores fsicos] x 2 + 1. NOTA: El rendimiento no mejora en forma significativa si hay ms cantidad de motores de exploracin ThreatSense que subprocesos de exploracin.

    32

    3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) Esta versin de Microsoft Exchange Server incluye la versin 2.6 de VSAPI. Si anula la seleccin de la opcin Habilitar la proteccin antivirus y antispyware VSAPI 2.6, el complemento de ESET Mail Security para el servidor Exchange Server no se sacar del proceso de Microsoft Exchange Server. Solo pasar los mensajes sin explorarlos en busca de virus. De todas formas, el mensaje s se explorar en busca de spam 39 y se aplicarn las reglas 22 . Si la opcin Exploracin proactiva est habilitada, los nuevos mensajes entrantes se explorarn en el mismo orden en que fueron recibidos. Cuando esta opcin est habilitada y un usuario abre un mensaje an no explorado, dicho mensaje se explorar antes que los dems mensajes de la cola de espera. La opcin Exploracin en segundo plano permite explorar todos los mensajes como un proceso en segundo plano en el sistema. Microsoft Exchange Server decide si una exploracin en segundo plano se ejecutar o no basndose en diversos factores, como la carga actual del sistema, la cantidad de usuarios activos, etc. Microsoft Exchange Server lleva un registro de los mensajes explorados y de la versin de la base de datos de firmas de virus utilizada. Si est abriendo un mensaje que no se explor con la base de datos de firmas de virus ms actual, Microsoft Exchange Server enva el mensaje a ESET Mail Security para su exploracin antes de que el cliente de correo electrnico lo abra. Puede elegir Explorar solo los mensajes que contienen archivos adjuntos y filtrarlos segn el momento en que se recibieron, mediante las siguientes opciones de Nivel de exploracin: Todos los mensajes Mensajes recibidos en el ltimo ao Mensajes recibidos en los ltimos 6 meses Mensajes recibidos en los ltimos 3 meses Mensajes recibidos en el ltimo mes Mensajes recibidos en la ltima semana Como la exploracin en segundo plano puede afectar la carga del sistema (la exploracin se realiza luego de cada actualizacin de la base de datos de firmas de virus), es recomendable utilizar las tareas programadas de exploracin fuera de las horas laborales. La exploracin en segundo plano programada se puede configurar mediante la creacin de una tarea especial en la seccin de Tareas programadas. Cuando programa una tarea de exploracin en segundo plano, puede especificar la hora de inicio, la cantidad de repeticiones y otros parmetros disponibles en las Tareas programadas. Luego de haber programado la tarea, sta aparecer en la lista de tareas programadas y, como ocurre con las dems, ser posible modificar sus parmetros, eliminarlas o desactivarla temporalmente. Al habilitar la opcin Explorar el cuerpo de los mensajes RTF, se activa la exploracin del cuerpo de los mensajes RTF. El cuerpo de los mensajes RTF pueden contener virus de macro. NOTA: VSAPI no explora el cuerpo de los correos electrnicos cuyo texto no tiene formato. 3.2.1.1.4.1 Acciones En esta seccin puede especificar las acciones que se realizarn cuando un mensaje y/o archivo adjunto se evale como infectado. El campo Accin para realizar cuando no es posible desinfectar permite Bloquear el contenido infectado, Eliminar objeto (es decir, el contenido infectado del mensaje), Eliminar el mensaje completo o dejar el contenido infectado intacto en el mensaje, Sin accin alguna. Esta accin solo se aplicar si la desinfeccin automtica (definida en Configuracin de los parmetros del motor ThreatSense > Desinfeccin 69 ) no desinfect el mensaje. Como se describi arriba, puede configurar la Accin para realizar cuando no es posible desinfectar para que realice las siguientes acciones: Sin accin: no realizar ninguna accin con el contenido infectado del mensaje Bloquear: bloquear el mensaje antes de que lo reciba el almacn de Microsoft Exchange Server Eliminar objeto: eliminar el contenido infectado del mensaje Eliminar el mensaje completo: eliminar el mensaje completo, incluyendo su contenido infectado
    33

    La opcin Eliminacin permite determinar el Mtodo de eliminacin del cuerpo del mensaje y el Mtodo de eliminacin de archivos adjuntos. Puede configurar el Mtodo de eliminacin del cuerpo del mensaje para que realice las siguientes acciones: Eliminar el cuerpo del mensaje: borrar el cuerpo del mensaje infectado; el destinatario recibir el mensaje vaco y todos los archivos adjuntos que no estn infectados Sobrescribir el cuerpo del mensaje con informacin sobre la accin: sobrescribir el cuerpo del mensaje infectado con informacin sobre las acciones realizadas Eliminar el mensaje completo: eliminar el mensaje completo, incluyendo los archivos adjuntos; es posible determinar qu accin se llevar a cabo al eliminar archivos adjuntos Puede configurar el Mtodo de eliminacin de archivos adjuntos para que realice las siguientes acciones: Truncar el archivo a una longitud de cero: ESET Mail Security trunca el archivo adjunto a un tamao de cero y permite que el destinatario vea el nombre y el tipo de archivo adjunto Reemplazar el archivo adjunto por informacin sobre la accin: ESET Mail Security reemplaza el archivo adjunto con la descripcin de una regla o un protocolo de virus Eliminar el mensaje completo: eliminar el archivo adjunto Si la opcin Usar la cuarentena de VSAPI est habilitada, los mensajes infectados se almacenan en la cuarentena del servidor de correo electrnico. Tenga en cuenta que se trata de la cuarentena del servidor administrada por VSAPI (no la cuarentena del cliente ni la del buzn de correo). No ser posible acceder a los mensajes infectados almacenados en la cuarentena del servidor de correo hasta que se hayan desinfectado con la ltima base de datos de firmas de virus. Al hacer clic en el botn Volver a explorar, se ejecutar otra exploracin en los mensajes que ya se haban explorado. 3.2.1.1.4.2 Rendimiento En esta seccin puede establecer la cantidad de subprocesos de exploracin que se usan al mismo tiempo. La existencia de ms subprocesos en equipos con varios procesadores puede incrementar la tasa de exploracin. Para obtener el mejor rendimiento, es recomendable usar la misma cantidad de motores de exploracin ThreatSense que subprocesos de exploracin. SUGERENCIA: Para determinar la Cantidad de subprocesos de exploracin recomendada por el proveedor de Microsoft Exchange Server, utilice la siguiente frmula: [cantidad de procesadores fsicos] x 2 + 1. NOTA: El rendimiento no mejora en forma significativa si hay ms cantidad de motores de exploracin ThreatSense que subprocesos de exploracin.

    34

    3.2.1.1.5 Agente de transporte En esta seccin, puede habilitar o deshabilitar la proteccin antivirus y antispyware usando el agente de transporte. Para Microsoft Exchange Server 2007 y versiones posteriores, solo es posible instalar un agente de transporte si el servidor se encuentra en uno de estos dos roles: Transporte Edge o Transporte Hub.

    Cuando hay un mensaje que no se puede desinfectar, se procesar segn la configuracin en la seccin Agente de transporte. El mensaje se puede eliminar, enviar a la cuarentena del buzn de correo o conservar. Si anula la seleccin de la opcin Habilitar la proteccin antivirus y antispyware por agente de transporte, el complemento de ESET Mail Security para el servidor Exchange Server no se sacar del proceso de Microsoft Exchange Server. Solo pasar los mensajes sin explorarlos en busca de virus. De todas formas, el mensaje s se explorar en busca de spam 39 y se aplicarn las reglas 22 . Al Habilitar la proteccin antivirus y antispyware por agente de transporte, puede determinar la Accin para realizar cuando no es posible desinfectar: Retener el mensaje: conservar un mensaje infectado que no se pudo desinfectar Poner el mensaje en cuarentena: enviar un mensaje infectado a la cuarentena del buzn de correo Eliminar el mensaje: eliminar el mensaje infectado Cuando se detecte una amenaza, escribir el puntaje de spam en el encabezado de los mensajes explorados (%): establecer un valor especfico para el puntaje de spam (la probabilidad de que un mensaje sea spam), expresado como porcentaje Esto significa que, si se detecta una amenaza, se escribir un puntaje de spam (valor especificado como %) en el mensaje explorado. Como los botnets son responsables de enviar la mayora de los mensajes infectados, los mensajes distribuidos de esta forma se categorizan directamente como spam. Para que esta caracterstica funcione en forma efectiva, deber estar habilitada la opcin Escribir el nivel de confianza contra spam (SCL) en los mensajes explorados segn el puntaje de spam en Proteccin del servidor > Microsoft Exchange Server > Agente de transporte 20 . Si la opcin Tambin explorar los mensajes recibidos de conexiones autenticadas o internas est habilitada, ESET Mail Security tambin explorar los mensajes recibidos de fuentes autenticadas o de servidores locales. Se recomienda explorar dichos mensajes para incrementar an ms el nivel de proteccin, aunque es opcional.

    35

    3.2.2 Acciones En esta seccin puede elegir aadir el nmero de identificacin de una tarea de exploracin y/o la informacin sobre el resultado de la exploracin al encabezado de los mensajes explorados.

    3.2.3 Alertas y notificaciones ESET Mail Security permite aadir un texto en el asunto o el cuerpo original de los mensajes infectados.

    36

    Agregar al cuerpo de los mensajes explorados ofrece tres opciones: No aadir a los mensajes Aadir solo a los mensajes infectados Aadir a todos los mensajes explorados Al habilitar la opcin Agregar una nota al asunto de los mensajes infectados, ESET Mail Security aadir una etiqueta de notificacin al asunto del correo electrnico con el valor definido en el campo de texto Plantilla aadida al asunto de los mensajes infectados (en forma predeterminada es [virus %VIRUSNAME%]). Las modificaciones mencionadas pueden automatizar el filtrado de correos electrnicos infectados filtrando los correos que tengan un asunto especfico a una carpeta aparte (siempre y cuando sea compatible con su cliente de correo electrnico). NOTA: Tambin puede utilizar variables del sistema al agregar una plantilla al asunto del mensaje. 3.2.4 Exclusiones automticas Los desarrolladores de aplicaciones y sistemas operativos para servidores recomiendan excluir de la exploracin antivirus grupos crticos de archivos operativos y carpetas para la mayora de sus productos. Las exploraciones antivirus pueden tener un efecto negativo en el rendimiento de un servidor, generar conflictos e incluso impedir la ejecucin de algunas aplicaciones en el servidor. Las exclusiones ayudan a minimizar el riesgo de conflictos potenciales e incrementar el rendimiento general del servidor mientras se ejecuta un programa antivirus. ESET Mail Security identifica las aplicaciones crticas del servidor y los archivos crticos de su sistema operativo y los agrega automticamente a la lista de Exclusiones. Luego de agregarse a la lista, el proceso o la aplicacin del servidor se puede habilitar (opcin predeterminada) seleccionando la casilla correspondiente o deshabilitar quitando dicha seleccin, con el siguiente resultado: 1) Si la exclusin de una aplicacin o un sistema operativo permanece habilitada, se agregar cualquiera de sus archivos o carpetas crticos a la lista de archivos excluidos de la exploracin (Configuracin avanzada > Proteccin del equipo > Antivirus y antispyware > Exclusiones). Cada vez que se reinicie el servidor, el sistema realizar una verificacin automtica de las exclusiones y restaurar todas las exclusiones que se hayan eliminado de la lista. Si quiere asegurarse de que se apliquen siempre las exclusiones automticas recomendadas, sta es la configuracin ms indicada. 2) Si el usuario deshabilita la exclusin de una aplicacin o un sistema operativo, los archivos y carpetas crticos correspondientes permanecern en la lista de archivos excluidos de la exploracin (Configuracin avanzada > Proteccin del equipo > Antivirus y antispyware > Exclusiones). No obstante, no se verificarn ni renovarn automticamente en la lista de Exclusiones cada vez que se reinicie el equipo (ver el punto 1 arriba). Esta configuracin es recomendable para los usuarios avanzados que deseen eliminar o modificar algunas de las exclusiones estndar. Si desea eliminar las exclusiones de la lista sin reiniciar el servidor, deber hacerlo manualmente (Configuracin avanzada > Proteccin del equipo > Antivirus y antispyware > Exclusiones). Cualquier exclusin definida por el usuario que se haya ingresado en forma manual en Configuracin avanzada > Proteccin del equipo > Antivirus y antispyware > Exclusiones no se ver afectada por la configuracin detallada arriba. Las exclusiones automticas de aplicaciones o sistemas operativos del servidor se seleccionan basndose en las recomendaciones de Microsoft. Para obtener ms detalles, consulte los siguientes vnculos: http://support.microsoft.com/kb/822158 http://support.microsoft.com/kb/245822 http://support.microsoft.com/kb/823166 http://technet.microsoft.com/en-us/library/bb332342%28EXCHG.80%29.aspx http://technet.microsoft.com/en-us/library/bb332342.aspx

    37

    3.3 Proteccin antispam


    En la seccin Proteccin antispam, puede habilitar o deshabilitar la proteccin antispam para el servidor de correo instalado, configurar los parmetros del motor antispam y establecer otros niveles de proteccin.

    38

    3.3.1 Microsoft Exchange Server 3.3.1.1 Agente de transporte En esta seccin, puede configurar las opciones para la proteccin de spam usando el agente de transporte.

    NOTA: El agente de transporte no est disponible en Microsoft Exchange Server 5.5. Al Habilitar la proteccin antispam por agente de transporte, puede elegir una de las siguientes opciones como Accin para los mensajes de spam: Retener el mensaje: conservar el mensaje aunque est marcado como spam Poner el mensaje en cuarentena: enva un mensaje marcado como spam a la cuarentena del buzn de correo Eliminar el mensaje: elimina un mensaje marcado como spam Si desea incluir en el encabezado la informacin sobre el puntaje de spam del mensaje, habilite la opcin Escribir el puntaje de spam en el encabezado de los mensajes explorados. La funcin Habilitar las listas grises activa una caracterstica que protege a los usuarios ante el spam mediante la siguiente tcnica: El agente de transporte enviar un valor devuelto SMTP de "rechazo temporal" (el predeterminado es 451/4.7.1) por cualquier correo electrnico recibido que no pertenezca a un remitente conocido. Un servidor legtimo intentar volver a enviar el mensaje luego de un tiempo de espera. Por lo general, los servidores de spam no intentarn reenviar el mensaje, ya que hacen envos a miles de direcciones de correo electrnico y no pierden tiempo reenviando el spam. La creacin de listas grises es una capa adicional de proteccin antispam y no produce ningn efecto en la capacidad del mdulo antispam para evaluar spam. Al evaluar la fuente del mensaje, el mtodo tiene en cuenta la configuracin de las listas de Direcciones IP aprobadas, Direcciones IP ignoradas, Remitentes seguros y Permitir IP en el servidor de Exchange, as como la configuracin de la propiedad Omitir antispam para el buzn de correo del destinatario. Los correos electrnicos de estas listas de remitentes/direcciones IP o los distribuidos a un buzn de correo con la opcin Omitir antispam habilitada, no sern examinados por el mtodo de deteccin de listas grises. El campo Respuesta de SMTP para conexiones denegadas temporalmente define la respuesta de denegacin temporal de SMTP enviada al servidor SMTP si se rechaza un mensaje.

    39

    Ejemplo de un mensaje SMTP de respuesta: Cdigo de respuesta primaria 451 Cdigo de estado secundario 4.7.1 Descripcin Se anul la accin solicitada: error local de procesamiento

    Advertencia: La sintaxis incorrecta en los cdigos de respuesta SMTP puede provocar que la proteccin por listas grises no funcione correctamente. Como resultado, es posible que los mensajes de spam se enven a los clientes o que directamente no se enven. Lmite de tiempo para la denegacin de conexin inicial (min.): cuando se enva por primera vez un mensaje y se rechaza temporalmente, este parmetro define el perodo durante el cual siempre se rechazar el mensaje (determinado por el tiempo del primer rechazo). Cuando haya transcurrido el perodo definido, el mensaje se recibir correctamente. El valor mnimo para ingresar es de 1 minuto. Tiempo de vencimiento de las conexiones no verificadas (horas): este parmetro define el intervalo de tiempo mnimo para guardar el tro de datos. Un servidor vlido debe reenviar un mensaje deseado antes de que transcurra este perodo. Este valor debe ser mayor que el valor del Lmite de tiempo para la denegacin de conexin inicial. Tiempo de vencimiento de las conexiones verificadas (das): la cantidad mnima de das para guardar el tro de datos, durante la cual los correos electrnicos provenientes de un remitente especfico se recibirn sin ninguna demora. Este valor debe ser mayor que el valor del Tiempo de vencimiento de las conexiones no verificadas. NOTA: Cuando defina la respuesta SMTP de rechazo, tambin puede utilizar variables del sistema. 3.3.2 Motor antispam En esta seccin, puede configurar los parmetros del Motor antispam. Tambin puede configurarlos haciendo clic en el botn Configurar.... Se abrir una ventana desde donde podr configurar estos Parmetros del motor antispam 41 Categorizacin de mensajes El motor antispam de ESET Mail Security le asigna un puntaje de spam de 0 a 100 a cada mensaje explorado. Si cambia los lmites de los puntajes de spam en esta seccin, puede afectar: 1) si un mensaje se clasificar como SPAM o NO ES SPAM. Todos los mensajes cuyo puntaje de spam sea igual o mayor al valor Puntaje de spam para que el mensaje se considere spam: se consideran SPAM. En consecuencia, se aplicarn a dichos mensajes las acciones establecidas en el Agente de transporte 39 . 2) si un mensaje se registrar en el registro antispam 87 (Herramientas > Archivos de registro > Antispam). Todos los mensajes cuyo valor de puntaje de spam sea igual o mayor al Lmite de puntaje de spam para que un mensaje sea considerado probablemente spam o probablemente limpio: se incluirn en el registro. 3) en qu seccin de las estadsticas antispam se contabilizar dicho mensaje (Estado de proteccin > Estadsticas > Proteccin antispam del servidor de correo): Mensajes evaluados como SPAM : el puntaje de spam del mensaje es igual o mayor que el valor especificado para el Puntaje de spam para que el mensaje se considere spam Mensajes evaluados como probablemente SPAM : el puntaje de spam del mensaje es igual o mayor que el valor especificado para el Lmite de puntaje de spam para que un mensaje sea considerado probablemente spam o probablemente limpio Mensajes evaluados como probablemente NO ES SPAM: el puntaje de spam del mensaje es menor que el valor especificado para el Lmite de puntaje de spam para que un mensaje sea considerado probablemente spam o probablemente limpio Mensajes evaluados como NO ES SPAM: el puntaje de spam del mensaje es igual o menor que el valor especificado para el Lmite de puntaje de spam para que un mensaje sea considerado probablemente spam o probablemente limpio
    40

    3.3.2.1 Configuracin de los parmetros del motor antispam Configuracin de los parmetros del motor antispam Puede seleccionar un perfil del grupo de perfiles previamente configurados (Recomendado, Ms preciso, Ms veloz, Personalizado). La lista de perfiles se carga desde el mdulo antispam. Para cada uno de los perfiles mencionados, se cargan diferentes opciones de configuracin especficas desde el archivo spamcatcher.conf y se carga otro subgrupo de opciones directamente desde el programa, que al igual que las anteriores, difieren para cada perfil individual. An cuando est seleccionado el perfil Personalizado, ciertas configuraciones se aplican directamente desde el programa y no desde el archivo spamcatcher.conf. Por ej., la configuracin del servidor proxy definida por el archivo spamcatcher.conf no se aplicar si el servidor proxy ya se configur usando la interfaz grfica del usuario de ESET Mail Security, ya que las configuraciones del programa son siempre superiores a las del archivo spamcatcher.conf. La configuracin para las actualizaciones automticas del motor antispam se sobrescribir cada vez como deshabilitada, independientemente de los cambios en spamcatcher.conf. El perfil Recomendado est formado por las opciones de configuracin recomendadas, que consiguen un equilibrio entre seguridad e impacto en el rendimiento del sistema. El perfil Ms preciso se centra nicamente en la seguridad del servidor de correo. Este perfil consume ms recursos del sistema que el perfil Recomendado. El perfil Ms veloz est preconfigurado para lograr un consumo mnimo de los recursos del sistema mediante la deshabilitacin de algunas caractersticas de filtrado. Personalizado > Abrir el archivo de configuracin le permite al usuario editar el archivo spamcatcher.conf. Esta opcin se recomienda para los administradores del sistema que deseen personalizar el sistema hasta el nivel de detalle ms especfico (si es necesario). No obstante, las primeras tres opciones de perfiles deberan cubrir la mayora de las necesidades. Si desea utilizar un perfil Personalizado, consulte el captulo Archivo de configuracin 43 para obtener ms detalles acerca de los parmetros disponibles y los efectos que tienen en el sistema. Recuerde que todava hay algunas opciones de configuracin que se aplican directamente desde el programa, por lo que son superiores a las del archivo spamcatcher.conf. Su propsito es prevenir la configuracin incorrecta de los componentes esenciales, que de otra forma causaran un mal funcionamiento de ESET Mail Security. Hay dos maneras de cambiar la configuracin de spamcatcher.conf. Una de ellas es usar la interfaz grfica del usuario de ESET Mail Security seleccionando el perfil Personalizado en el men desplegable Configuracin:. Luego haga clic en el vnculo Abrir el archivo de configuracin justo debajo del men desplegable del perfil. A continuacin se abrir el archivo spamcatcher.conf en el bloc de notas para su edicin. La otra opcin es abrir spamcatcher.conf en el bloc de notas para editarlo. Puede localizar el archivo spamcatcher.conf en C:\Documents and Settings\All Users\Datos de programa\ESET\ESET Mail Security\MailServer para Windows Server 2000 y 2003, y para Windows Server 2008, en C:\ProgramData\ESET\ESET Mail Security\MailServer. Cuando spamcatcher.conf est modificado con la configuracin deseada, es necesario reiniciar el motor antispam para cargar los nuevos cambios desde el programa y el archivo de configuracin. Si modific spamcatcher.conf mediante la interfaz grfica del usuario, simplemente cierre las ventanas de dilogo haciendo un clic en Aceptar. Como consecuencia, se reiniciar el motor antispam. Tambin ver que el vnculo Volver a cargar los parmetros del motor antispam aparece ms opaco en gris, lo que significa que el motor antispam se est reiniciando. Si modific el archivo spamcatcher.conf usando directamente un editor de texto (en lugar de usar la interfaz grfica del usuario), ser necesario reiniciar el motor antispam para que el programa aplique los cambios. Hay algunas formas distintas de reiniciar el motor antispam. Se puede dejar que el motor antispam se reinicie por su cuenta en la prxima ocasin (por ej., al actualizar la base de datos de firmas) o, de ser necesario, puede hacerlo manualmente desde el rbol de configuracin avanzada (F5), ingresando a Proteccin del servidor > Proteccin antispam > Motor antispam y haciendo clic en el vnculo Volver a cargar los parmetros del motor antispam. Como alternativa, puede reiniciar el motor antispam deshabilitando y volviendo a habilitar la proteccin antispam desde la ventana principal de ESET Mail Security, yendo a Configuracin > Proteccin antispam y luego haciendo clic en Deshabilitar temporalmente la proteccin antispam en la parte inferior de la ventana y, a continuacin, en Habilitar la proteccin antispam. Desde ese momento, el motor antispam usar la nueva configuracin. NOTA: Es posible utilizar un archivo spamcatcher.conf modificado junto con un perfil de configuracin que no sea el Personalizado (por ejemplo, con el perfil Ms preciso). En ese caso, algunas de las opciones de configuracin se usan de acuerdo a la configuracin en spamcatcher.conf y otras, segn las especificaciones del usuario en la interfaz grfica. Cuando haya opciones de configuracin que difieran entre ambas fuentes, la configuracin de la interfaz siempre ser superior a la del archivo spamcatcher.conf (excepto a algunas pocas opciones correspondientes a
    41

    componentes esenciales del sistema, que estn definidas por el programa independientemente de lo que est configurado en la interfaz grfica o en el archivo spamcatcher.conf).

    En la pestaa Direcciones IP permitidas, se pueden especificar las direcciones IP que se deben aprobar, es decir, si la primera direccin IP no ignorada en Encabezados recibidos coincide con cualquier direccin de la lista, el mensaje recibe un puntaje de 0 y no se sigue verificando. En la pestaa Direcciones IP ignoradas, se pueden especificar las direcciones IP que deben ignorarse durante las verificaciones de listas de bloqueo en tiempo real (RBL). Debera incluir en la lista todas las direcciones IP internas en el firewall que no sean accesibles directamente desde Internet. De esta manera, se evitan las verificaciones innecesarias y se ayuda a identificar las direcciones IP que realmente se estn conectando. El motor automticamente saltea las direcciones IP internas (192.168.x.y y 10.x). En la pestaa Direcciones IP bloqueadas, se pueden especificar las direcciones IP que se deben bloquear, es decir, si cualquier direccin IP no ignorada en Encabezados recibidos coincide con la direccin de la lista, el mensaje recibe un puntaje de 100 y no se sigue verificando.

    En la pestaa Dominios ignorados, se pueden especificar los dominios que se usan en el cuerpo del mensaje y que siempre se deben excluir de las verificaciones DNSBL y MSBL e ignorar. En la pestaa Dominios bloqueados, se pueden especificar los dominios que se usan en el cuerpo del mensaje y que siempre se deben bloquear. NOTA: A diferencia de las direcciones IP, al agregar dominios no se pueden usar los caracteres globales. Las tecnologas antispam y de creacin de listas grises tambin permiten el uso de las denominadas listas blancas. Posibilidades de aplicacin de las listas blancas para las listas grises Microsoft Exchange 2003 - lista de direcciones IP permitidas en el filtro de mensajes inteligente (IMF) de Exchange (Filtrado de conexiones > Lista de aceptacin global) - lista de direcciones IP permitidas e ignoradas en la configuracin de ESET Mail Security

    42

    Microsoft Exchange 2007/2010 - lista de direcciones IP permitidas e ignoradas en la configuracin de ESET Mail Security - lista de Remitentes seguros para un destinatario determinado - la opcin Omitir antispam habilitada para un buzn de correo determinado - lista de direcciones IP permitidas en Microsoft Exchange - la opcin Omitir antispam habilitada para una conexin SMTP determinada

    Posibilidades de aplicacin de las listas blancas para el antispam General - lista de direcciones IP permitidas en la configuracin de ESET Mail Security - lista de dominios de correo en el archivo approvedsenders - filtrado basado en reglas Microsoft Exchange 2003 - lista de direcciones IP permitidas en el filtro de mensajes inteligente (IMF) de Exchange (Filtrado de conexiones > Lista de aceptacin global) Microsoft Exchange 2007/2010 - lista de Remitentes seguros para un destinatario determinado - la opcin Omitir antispam habilitada para un buzn de correo determinado - lista de direcciones IP permitidas en Microsoft Exchange - la opcin Omitir antispam habilitada para una conexin SMTP determinada NOTA: Una caracterstica general de las tecnologas antispam y de creacin de listas grises es que los mensajes cuyo origen est autenticado o es interno no se verifican en busca de spam. 3.3.2.1.1 Archivo de configuracin El archivo de configuracin spamcatcher.conf permite modificar varias opciones de configuracin adicionales que no estn disponibles en la interfaz grfica del usuario de ESET Mail Security. Las opciones de configuracin de spamcatcher.conf cuentan con una estructura transparente e incluyen su descripcin. Nombre: nombre del parmetro Argumentos: valores que se pueden asignar al parmetro y su sintaxis Predeterminado: valor predeterminado del parmetro Descripcin: descripcin detallada del parmetro Se omiten las lneas en blanco y las lneas que comienzan con #. A continuacin, se muestra una lista con las opciones de configuracin ms importantes de spamcatcher.conf: Nombre del parmetro approved_ip_list Detalles Lista de direcciones IP aprobadas. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirse en la interfaz grfica del usuario del programa (consulte el captulo Configuracin de los parmetros del motor antispam 41 ). Lista de direcciones IP bloqueadas. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirse en la interfaz grfica del usuario del programa (consulte el captulo Configuracin de los parmetros del motor antispam 41 ). Lista de direcciones IP ignoradas. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirse en la interfaz grfica del usuario del programa (consulte el captulo Configuracin de los parmetros del motor antispam 41 ). Lista de los servidores de bloqueo en tiempo real (RBL) que se usarn al evaluar mensajes. La solicitud RBL verifica la presencia de una direccin IP especfica en un servidor RBL determinado. Las direcciones IP en la seccin Recibido del encabezado del correo estn sujetas a estas verificaciones. El formato de la entrada es el siguiente: rbl_list=servidor:respuesta:contrapartida,servidor2:
    respuesta2:contrapartida2,...

    blocked_ip_list

    ignored_ip_list

    rbl_list

    El significado de los parmetros se explica a continuacin:


    43

    1) servidor: nombre del servidor RBL 2) respuesta: respuesta del servidor RBL si se encontr la direccin IP (las respuestas estndar son 127.0.0.2, 127.0.0.3, 127.0.0.4., etc.). Este parmetro es opcional y, si no se completa, se consideran todas las opciones. 3) contrapartida: valor de 0 a 100. Influye en el puntaje general de spam. El valor estndar es 100, es decir que, cuando la verificacin tiene resultado positivo, el mensaje recibe un puntaje de spam de 100 y se evala como spam. Los valores negativos disminuyen el puntaje general de spam de un mensaje. Asimismo, podr esperarse el valor 0 para los mensajes provenientes de remitentes incluidos en el archivo de remitentes permitidos approvedsenders y el valor 100 para los mensajes de remitentes incluidos en el archivo de remitentes bloqueadosblockedsenders (ver ms abajo). Ejemplo 1: rbl_list=ent.adbl.org La verificacin RBL se lleva a cabo usando el servidor ent.adbl.org . Si el resultado de la verificacin es positivo, se le asignar al mensaje unvalor de contrapartida estndar de 100 y se marcar como spam. Ejemplo 2: rbl_list=ent.adbl.org::60 La verificacin RBL se lleva a cabo usando el servidor ent.adbl.org . Si el resultado de la verificacin es positivo, se le asignar al mensaje un valor de contrapartida de 60, que incrementar su puntaje general de spam. Ejemplo 3: rbl_list=bx9.dbl.com::85, list.dnb.org:127.0.0.4:35, req.gsender.org::-75 La verificacin RBL se lleva a cabo usando los servidores definidos (de izquierda a derecha). En caso de un resultado positivo en la verificacin de bx9.dbl.com se agregar el valor de contrapartida 85. Si al verificar list.dnb.org el resultado es positivo con una respuesta de 127.0.0.4, se usar el valor de contrapartida 35. No se aplicar la contrapartida en los casos en que las respuestas sean distintas a 127.0.0.4. Si el resultado de la verificacin de req.gsender. org es positivo, el puntaje de spam decrecer 75 puntos (valor negativo). rbl_max_ips Cantidad mxima de direcciones IP que se puede enviar al servidor RBL para su verificacin. La cantidad total de solicitudes RBL es la cantidad total de direcciones IP en la seccin Recibido del encabezado del correo electrnico (hasta el lmite determinado en rbl_maxcheck_ips) multiplicado por la cantidad de servidores RBL determinado en la lista rbl_list. El valor 0 significa que la cantidad de direcciones IP que se pueden verificar es ilimitada. Direcciones IP en la lista ignored_ip_list (es decir, la lista Direcciones IP ignoradas en la configuracin de ESET Mail Security). Este parmetro solo se aplica si la lista rbl_list est habilitada (es decir, contiene 1 servidor como mnimo). approved_domain Es una lista de dominios y direcciones IP en el cuerpo del correo electrnico, que deben _list considerarse permitidos. No tome la costumbre de poner correos electrnicos en la lista blanca segn el dominio del remitente. blocked_domain_li Es una lista de dominios y direcciones IP en el cuerpo del correo electrnico, que deben st considerarse bloqueados permanentemente. Esta no es una lista negra de direcciones de los remitentes. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirse en la interfaz grfica del usuario del programa (consulte el captulo Configuracin de los parmetros del motor antispam 41 ). ignored_domain_li Lista de dominios en el cuerpo del correo electrnico, que debern ser excluidos en forma st permanente de las verificaciones DNSBL e ignorados. No es necesario agregar la lista al archivo spamcatcher.conf. Puede definirse en la interfaz grfica del usuario del programa (consulte el captulo Configuracin de los parmetros del motor antispam 41 ). dnsbl_list Lista de servidores DNSBL que se usarn en las verificaciones de dominios y direcciones IP en el cuerpo del correo electrnico. El formato de la entrada es el siguiente: dnsbl_list=servidor: respuesta:contrapartida,servidor2:respuesta2:contrapartida2,... A continuacin se muestra el significado de los parmetros usados: 1) servidor: nombre del servidor DNSBL 2) respuesta: respuesta del servidor DNSBL si se encontr la direccin IP o el dominio (las respuestas estndar son 127.0.0.2, 127.0.0.3, 127.0.0.4., etc.). Este parmetro es opcional y, si no se completa, se consideran todas las opciones. 3) contrapartida: valor de 0 a 100. Influye en el puntaje general de spam. El valor estndar es 100, es decir que, cuando la verificacin tiene resultado positivo, el mensaje recibe un puntaje
    44

    de spam de 100 y se evala como spam. Los valores negativos disminuyen el puntaje general de spam de un mensaje. Asimismo, podr esperarse el valor 0 para los mensajes provenientes de remitentes incluidos en el archivo de remitentes permitidos approvedsenders y el valor 100 para los mensajes de remitentes incluidos en el archivo de remitentes bloqueadosblockedsenders (ver ms abajo). Las verificaciones DNSBL pueden influir negativamente en el rendimiento del sistema debido a que cada dominio o direccin IP del cuerpo del mensaje se verifica con todos los servidores DNSBL definidos y cada verificacin individual requiere el procesamiento de una solicitud del servidor DNS. Se puede reducir el impacto en los recursos del sistema desplegando un servidor cach DNS con este objetivo. Por el mismo motivo, las direcciones IP no enrutables (10.x.x.x, 127.x.x.x, 192.168.x.x) tambin se omiten de las verificaciones DNSBL. Ejemplo 1: dnsbl_list=ent.adbl.org La verificacin DNSBL se lleva a cabo usando el servidor ent.adbl.org . Si el resultado de la verificacin es positivo, se le asignar al mensaje un valor de contrapartida predeterminado de 100 (se marcar como spam). Ejemplo 2: dnsbl_list=ent.adbl.org::60 La verificacin DNSBL se lleva a cabo usando el servidor ent.adbl.org . Si el resultado de la verificacin es positivo, se le asignar al mensaje un valor de contrapartida de 60, que incrementar su puntaje general de spam. Ejemplo 3: dnsbl_list=bx9.dbl.com::85, list.dnb.org:127.0.0.4:35, req.gsender.org::-75 La verificacin DNSBL se lleva a cabo usando los servidores definidos (de izquierda a derecha). Si el resultado de la verificacin es positivo para bx9.dbl.com, se agregar el valor de contrapartida 85. Si al verificar list.dnb.org el resultado es positivo con una respuesta de 127.0.0.4 se usar una contrapartida de 35. No se aplicar ninguna contrapartida en los casos en que las respuestas sean distintas a 127.0.0.4. Si el resultado de la verificacin de req.gsender.org es positivo, el puntaje de spam decrecer 75 puntos (valor negativo). home_country_list Lista de pases que se considerarn "hogar". Los mensajes enrutados a travs de un pas que no figure en esta lista se evaluarn usando reglas ms estrictas (se aplicar un puntaje de spam ms alto). El formato de la entrada para pases est compuesto por su cdigo de dos caracteres segn las disposiciones de la norma ISO 3166. home_language_li Lista de idiomas preferidos, es decir, los idiomas usados con mayor frecuencia en los mensajes st de correo electrnico. Dichos mensajes se evaluarn usando reglas menos estrictas (puntaje de spam ms bajo). El formato de la entrada para idiomas est compuesto por su cdigo de dos caracteres segn las disposiciones de la norma ISO 639. custom_rules_list Permite definir listas personalizadas de reglas y almacenar cada lista en un archivo individual. Cada regla se guarda en una lnea separada del archivo con el siguiente formato: Frase, Tipo, Confianza, Distinguir maysculas de minsculas Frase: cualquier texto, no debe contener comas (,). Tipo: puede tener los siguientes valores: SPAM, PHISH, BOUNCE, ADULT, FRAUD. Si ingresa un valor distinto a los mencionados arriba, se usar automticamente el valor SPAM. SPAM define frases que aparecen en los mensajes de spam clsicos (ofertas de bienes y servicios). PHISH incluye frases que aparecen en mensajes fraudulentos (phishing), cuyo objetivo es la extraccin de datos confidenciales de los usuarios (como nombres, contraseas, nmeros de tarjetas de crdito, etc.). BOUNCE son las frases utilizadas en las respuestas automticas de servidores, como las notificaciones de no entrega de mensajes (usadas cuando se suplanta la direccin del remitente). ADULT representa las frases tpicas para los mensajes que ofrecen contenido pornogrfico. FRAUD simboliza las frases utilizadas en correos electrnicos fraudulentos (scam) que ofrecen operaciones bancarias sospechosas (como transferencias de dinero a travs de la cuenta del usuario, etc.). Un ejemplo tpico de esta clase de spam es el denominado spam nigeriano. Confianza: valor de 0 a 100. Define la probabilidad que tiene una frase de ser miembro de una categora de spam especfica (de las listadas arriba). Si el Tipo PHISH tiene una Confianza de 90, hay una gran probabilidad de que la frase se est usando en mensajes de phishing. Cuanto mayor es el puntaje de Confianza, mayor es el impacto que tiene en el puntaje global de spam del mensaje. Un valor de Confianza de 100 presenta un caso especial, ya que el puntaje de
    45

    spam del mensaje tambin ser 100; es decir que el mensaje se marcar como 100% spam. En forma anloga, si el valor es 0, el mensaje se marcar como "no es spam". Distinguir maysculas de minsculas: valores 0 o 1. 0 significa que la frase no diferencia entre maysculas y minsculas. 1 significa que la frase diferencia entre maysculas y minsculas. Ejemplos: rplica, SPAM, 100, 0 Estimado miembro de MercadoLibre, PHISH, 90, 1 devolver al remitente, BOUNCE, 80, 0 Los archivos de remitentes permitidos approvedsenders y remitentes bloqueados blockedsenders ofrecen ms opciones para las listas negras y blancas. Dichos archivos se pueden encontrar en C:\Documents and Settings\All Users\Datos de programa\ESET\ESET Mail Security\MailServer en Windows Server 2000 y 2003, y para Windows Server 2008, en C: \ProgramData\ESET\ESET Mail Security\MailServer. Se pueden agregar direcciones de remitentes o dominios a estas listas. Mientras que el archivo approvedsenders representa la lista de direcciones y dominios permitidos, el archivo blockedsenders representa la lista de direcciones y dominios bloqueados. Advertencia: Como es muy fcil suplantar las direcciones de los remitentes (alterarlas para que parezcan originales), no es recomendable usar los archivos approvedsenders y blockedsenders como listas blancas y negras. El uso de direcciones IP permitidas y bloqueadas resulta mucho ms confiable y seguro con este propsito. Si necesita crear listas blancas segn la direccin o dominio del remitente (el archivo de remitentes permitidos approvedsenders), siempre debe emplear un mtodo adicional de validacin del mensaje (por ej., SPF). Otras configuraciones: enable_spf Esta opcin habilita/deshabilita la validacin mediante el Marco de directivas de remitente (SPF). Este mtodo de validacin verifica las reglas pblicas de un dominio o una directiva de dominio para determinar si un remitente est autorizado a enviar mensajes desde dicho dominio. enable_all_spf Esta opcin sirve para determinar si los dominios que no se encuentran en la lista spf_list o en el archivo Mailshell pueden evadir la validacin del SPF. Para que esta opcin funcione correctamente, el parmetro enable_realtime_spf debe estar configurado en S. enable_realtime_spf Cuando esta opcin est habilitada, las solicitudes DNS se enviarn en tiempo real durante la validacin del SPF. Esto puede afectar negativamente el rendimiento (ocasionar demoras durante la evaluacin de los mensajes). spf_list Esta opcin permite asignar la importancia a una entrada del SPF especfica, lo que influye en el puntaje de spam general de un mensaje. spf_*_weight El asterisco representa 14 posibles resultados de validacin del SPF (ver spamcatcher.conf para obtener ms detalles). El valor ingresado para este parmetro es un valor de contrapartida que luego se aplica al puntaje de spam segn los tipos de resultados individuales. Si el resultado de validacin del SPF es "reprobado", se aplicar el valor de contrapartida del parmetro spf_fail_weight. Dependiendo del valor de contrapartida, el puntaje de spam resultante aumenta o disminuye. spf_recursion_depth Profundidad mxima de anidado (usando el mecanismo "incluir"). La normativa RFC 4408 especifica que este lmite debe ser 10 (para prevenir la denegacin de servicio); no obstante, en la actualidad, algunos registros del SPF no respetan dicho lmite, ya que es necesario aplicar muchos niveles ms de anidado para satisfacer plenamente la solicitud del SPF. enable_livefeed_sen Si esta opcin est deshabilitada, se ignorar la informacin del SPF proveniente del servicio der_repute LiveFeed.

    46

    3.3.3 Alertas y notificaciones Cada correo electrnico explorado por ESET Mail Security y clasificado como spam puede marcarse aadindole una etiqueta de notificacin al asunto del correo electrnico. En forma predeterminada, la etiqueta es [SPAM], aunque tambin puede ser una cadena de texto definida por el usuario.

    NOTA: Tambin puede utilizar variables del sistema al agregar una plantilla al asunto del mensaje.

    3.4 Preguntas frecuentes


    P: Luego de instalar EMSX con Antispam, los correos electrnicos no se siguieron enviando a los buzones de correo. R: Es un comportamiento comn cuando la creacin de listas grises est habilitada. Durante las primeras horas de funcionamiento a pleno, es posible que los correos electrnicos lleguen con varias horas de retraso. Si el problema persiste por un perodo ms prolongado, es recomendable desactivar (o volver a configurar) la funcin de creacin de listas grises. P: Cuando la interfaz VSAPI explora los archivos adjuntos de los correos electrnicos, explora tambin el cuerpo de los mensajes? R: En Microsoft Exchange Server 2000 SP2 y versiones posteriores, la interfaz VSAPI tambin explora el cuerpo de los mensajes. P: Por qu contina la exploracin de mensajes despus de haber deshabilitado la opcin de usar VSAPI? R: Los cambios en la configuracin de la interfaz VSAPI se aplican en forma asincrnica, lo que significa que la configuracin modificada de VSAPI debe ser solicitada por Microsoft Exchange Server para tener efecto. Este proceso cclico se efecta en intervalos de aproximadamente 1 minuto. Lo mismo se aplica para todas las dems configuraciones de VSAPI. P: Existe la posibilidad de que VSAPI elimine un mensaje completo si contiene un archivo adjunto infectado? R: S, es posible que VSAPI elimine el mensaje completo. No obstante, primero es necesario seleccionar la opcin Eliminar el mensaje completo en la seccin Acciones de la configuracin de VSAPI. Esta opcin est disponible en Microsoft Exchange Server 2003 y versiones posteriores. Las versiones anteriores de Microsoft Exchange Server no soportan la opcin de eliminar mensajes completos. P: VSAPI tambin explora el correo electrnico de salida en busca de virus? R: S, VSAPI explora los correos electrnicos de salida a menos que el servidor SMTP configurado en el cliente de correo sea distinto a Microsoft Exchange Server. Esta opcin se aplica en Microsoft Exchange Server 2000 Service
    47

    Pack 3 y versiones posteriores. P: Se puede agregar un mensaje de etiqueta mediante VSAPI a cada mensaje explorado, de la misma forma que con el agente de transporte? R: Microsoft Exchange Server no soporta la funcin de agregado de texto a los mensajes explorados por VSAPI. P: A veces no puedo abrir un correo electrnico especfico en Microsoft Outlook. A qu se debe? R: La opcin Accin para realizar cuando no es posible desinfectar de la configuracin de VSAPI en la seccin Acciones probablemente est configurada en Bloquear o se cre una regla para Bloquear la accin. Cualquiera de estas dos configuraciones marcar y bloquear los mensajes infectados que queden afectados por la regla mencionada. P: Qu representa el elemento Lmite de tiempo de respuesta en la seccin Rendimiento? R: Si usted tiene Microsoft Exchange Server 2000 SP2 o una versin posterior, el valor del Lmite de tiempo de respuesta representa el tiempo mximo en segundos requerido para finalizar la exploracin VSAPI de un subproceso. Si la exploracin no se termina dentro de el lmite de tiempo especificado, Microsoft Exchange Server denegar el acceso del cliente al correo electrnico. La exploracin no se interrumpir, y cuando se haya finalizado, cada nuevo intento de acceder al archivo ser satisfactorio. Si usted tiene Microsoft Exchange Server 5.5 SP3 o SP4, el valor se expresa en milisegundos y representa el perodo tras el cual el cliente vuelve a intentar acceder al archivo cuando no se pudo acceder previamente debido a la exploracin. P: Qu longitud puede tener la lista con tipos de archivos de una regla? R: La lista con extensiones de archivos puede incluir un mximo de 255 caracteres en una misma regla. P: Habilit la opcin Exploracin en segundo plano en VSAPI. Hasta ahora, los mensajes de Microsoft Exchange Server siempre se exploraban luego de cada actualizacin de la base de datos de firmas de virus. Pero esto no ocurri tras la ltima actualizacin. Cul es el problema? R: La decisin de explorar todos los mensajes de inmediato o cuando el usuario intenta acceder a un mensaje depende de varios factores, entre los que se incluyen la carga del servidor, el tiempo requerido por la CPU para explorar todos los mensajes en forma masiva y la cantidad total de mensajes. El servidor Microsoft Exchange Server explorar cada mensaje antes de que llegue al buzn de entrada del cliente. P: Por qu el contador de la regla aumenta ms de un punto despus de recibir un solo mensaje? R:Las reglas se verifican con respecto a un mensaje cuando el agente de transporte o la interfaz VSAPI lo procesan. Si tanto el agente de transporte como VSAPI estn habilitados y el mensaje concuerda con las condiciones de la regla, el contador de la regla puede incrementarse en dos o ms puntos. La interfaz VSAPI accede a las partes del mensaje en forma individual (cuerpo, archivo adjunto); en consecuencia, las reglas se aplican a cada parte independientemente. Lo que es ms, las reglas pueden aplicarse durante una exploracin en segundo plano (por ej., la exploracin reiterada del almacn de buzones de correo tras una actualizacin de la base de datos de firmas de virus), lo que aumenta el valor del contador de la regla. P: Es ESET Mail Security 4 para Microsoft Exchange Server compatible con el agente de filtrado de contenido (IMF)? R: S, ESET Mail Security 4 para Microsoft Exchange Server (EMSX) es compatible con el agente de filtrado de contenido (IMF). El procesamiento de los correos electrnicos en caso de que se marque el mensaje como spam es el siguiente: - Si el antispam de ESET Mail Security tiene la opcin Eliminar mensaje (o Poner mensaje en cuarentena) habilitada, la accin se ejecutar independientemente de la accin establecida en el IMF de Microsoft Exchange. - Si el antispam de ESET Mail Security est configurado en Sin accin, se usar la configuracin del IMF de Microsoft Exchange y se ejecutar la accin relevante (por ej., Eliminar, Rechazar, Archivar...). Escribir el nivel de confianza contra spam (SCL) en los mensajes explorados segn el puntaje de spam (en Proteccin del servidor > Microsoft Exchange Server > Agente de transporte): esta opcin debe estar habilitada para que la caracterstica funcione en forma efectiva.

    48

    P: Cmo debo configurar ESET Mail Security para mover los correos electrnicos no solicitados a la carpeta de spam de Microsoft Outlook definida por el usuario? R: La configuracin predeterminada de ESET Mail Security hace que Microsoft Outlook almacene los correos electrnicos no solicitados en la carpeta Correo no deseado. Para habilitar esta funcin, seleccione la opcin Escribir el puntaje de spam en el encabezado de los correos electrnicos explorados (debajo de F5 > Proteccin del servidor > Proteccin antispam > Microsoft Exchange Server > Agente de transporte). Si prefiere que el correo electrnico no solicitado se almacene en una carpeta distinta, lea las siguientes instrucciones: 1) En ESET Mail Security: - deshabilitar la opcin Escribir el puntaje de spam en el encabezado de los correos electrnicos explorados, - habilitar la accin Sin accin para mensajes marcados como spam, - definir el mensaje de etiqueta que se agregar a los mensajes no deseados, por ej., "[SPAM]" (en Proteccin del servidor > Proteccin antispam > Alertas y notificaciones). 2) En Microsoft Outlook: - configure una regla para asegurar que los mensajes cuyo asunto contenga un texto especfico ("[SPAM]") se enven a la carpeta definida. P: En las estadsticas de proteccin antispam, muchos mensajes entran en la categora No explorado. Cules son los correos electrnicos que la proteccin antispam no explora? R: La categora No explorado incluye: General: Todos los mensajes que se exploraron mientras la proteccin antispam tena algn nivel deshabilitado (servidor de correo, agente de transporte). Microsoft Exchange Server 2003: Todos los mensajes provenientes de una direccin IP que figura en el servicio de filtrado de mensajes IMF, en la Lista de aceptacin global Mensajes de remitentes autenticados Microsoft Exchange Server 2007: Todos los mensajes enviados dentro de la organizacin (se explorarn mediante la proteccin antivirus) Mensajes de remitentes autenticados Mensajes provenientes de usuarios configurados para omitir el antispam Todos los mensajes enviados al buzn de correo con la opcin Omitir antispam habilitada Todos los mensajes provenientes de remitentes que aparecen en la lista Remitentes seguros. NOTA: Las direcciones definidas en la lista blanca y la configuracin del motor antispam no entran en la categora No explorado, ya que este grupo est compuesto nicamente por los mensajes que nunca se procesaron por el antispam. P: Los usuarios descargan mensajes a sus clientes de correo electrnico mediante POP3 (evitando el servidor Microsoft Exchange Server), pero los buzones de correo estn guardados en Microsoft Exchange Server. El antivirus y antispam de ESET Mail Security explora estos correos electrnicos? R: En este tipo de configuracin, ESET Mail Security explorar los correos electrnicos almacenados en el servidor Microsoft Exchange Server solo en busca de virus (mediante VSAPI). La exploracin antispam no se llevar a cabo, ya que requiere un servidor SMTP. P: Puedo definir el nivel de puntaje de spam que un mensaje debe tener para ser considerado SPAM? R: S, se puede establecer el lmite en la versin 4.3 o posterior de ESET Mail Security (ver el captulo Configuracin de los parmetros del motor antispam 41 ). P: El mdulo de proteccin antispam de ESET Mail Security tambin explora los mensajes descargados mediante un Conector POP3? R: Los mensajes descargados mediante un Conector POP3 se exploran en busca de spam solo en servidores SBS 2008.

    49

    4. ESET Mail Security - proteccin del servidor


    A la vez que proporciona proteccin para el servidor Microsoft Exchange Server, ESET Mail Security cuenta con todas las herramientas necesarias para asegurar la proteccin del servidor en s mismo (escudo residente, proteccin de acceso a la Web, proteccin del cliente de correo electrnico y antispam).

    4.1 Proteccin antivirus y antispyware


    La proteccin antivirus defiende el sistema ante ataques maliciosos mediante el control de archivos, correos electrnicos y comunicaciones por Internet. Si se detecta una amenaza con cdigos maliciosos, el mdulo antivirus la puede eliminar bloquendola primero y luego desinfectndola, eliminndola o envindola a cuarentena. 4.1.1 Proteccin del sistema de archivos en tiempo real La proteccin del sistema de archivos en tiempo real controla todos los sucesos del sistema relacionados con el antivirus. Se exploran todos los archivos en busca de cdigos maliciosos cuando se abren, crean o ejecutan en el equipo. La proteccin del sistema de archivos en tiempo real se activa junto con el inicio del sistema. 4.1.1.1 Configuracin del control La proteccin del sistema de archivos en tiempo real verifica todos los tipos de medios y el control se acciona por diversos sucesos. Al usar los mtodos de deteccin de la tecnologa ThreatSense (descritos en la seccin titulada Configuracin de los parmetros del motor ThreatSense 66 ), la proteccin del sistema de archivos en tiempo real puede variar entre los nuevos archivos creados y los ya existentes. En el caso de los nuevos archivos creados, es posible aplicar un nivel ms profundo de control. Para garantizar el mnimo impacto posible en el sistema al usar la proteccin en tiempo real, los archivos que ya se exploraron no se vuelven a explorar reiteradamente (a menos que se hayan modificado). Los archivos se vuelven a explorar de inmediato luego de cada actualizacin de la base de datos de firmas de virus. Este comportamiento se configura usando la optimizacin inteligente. Si est deshabilitada, se explorarn todos los archivos cada vez que se acceda a ellos. Para modificar esta opcin, abra la ventana de configuracin avanzada y haga clic en Antivirus y antispyware > Proteccin del sistema de archivos en tiempo real en el rbol de configuracin avanzada. Luego haga clic en el botn Configurar... al lado de Configuracin de los parmetros del motor ThreatSense, haga clic en Otros y seleccione o quite la seleccin de la opcin Habilitar la optimizacin inteligente.

    50

    En forma predeterminada, la proteccin en tiempo real se activa junto con el inicio del sistema y proporciona una exploracin ininterrumpida. En algunos casos especiales (por ej., si hay un conflicto con otro mdulo de exploracin en tiempo real), es posible finalizar la proteccin en tiempo real anulando la seleccin de la opcin Iniciar automticamente la proteccin del sistema de archivos en tiempo real.

    4.1.1.1.1 Medios para explorar En forma predeterminada, todos los tipos de medios se exploran en busca de amenazas potenciales. Unidades locales: controla todos los discos rgidos del sistema Medios extrables: disquetes, dispositivos de almacenamiento USB, etc. Unidades de red: explora todas las unidades asignadas Es recomendable conservar la configuracin predeterminada y solo modificarla en casos especficos, por ej., si al explorar ciertos medios, se ralentizan significativamente las transferencias de archivos. 4.1.1.1.2 Exploracin accionada por un suceso En forma predeterminada, se exploran todos los archivos al abrirse, crearse o ejecutarse. Se recomienda mantener la configuracin predeterminada, ya que provee el mximo nivel de proteccin en tiempo real del equipo. La opcin Acceder al disquete proporciona la verificacin del sector de inicio del disquete al acceder a dicha unidad. La opcin Apagado del equipo proporciona la verificacin de los sectores de inicio del disco rgido durante el apagado del equipo. A pesar de que los virus de inicio hoy en da no son frecuentes, es recomendable dejar estas opciones habilitadas, ya que todava existe la posibilitad de infeccin por un virus de inicio desde diversas fuentes.

    51

    4.1.1.1.3 Opciones avanzadas de exploracin Se pueden encontrar opciones ms detalladas de configuracin en Proteccin del equipo > Antivirus y antispyware > Proteccin del sistema de archivos en tiempo real > Configuracin avanzada. Parmetros adicionales de ThreatSense para los nuevos archivos creados y modificados: la probabilidad de infeccin de los nuevos archivos creados o modificados es mayor en comparacin a los archivos existentes. Por ese motivo, el programa verifica esos archivos con parmetros adicionales de exploracin. Junto con los mtodos de exploracin basados en firmas, tambin se usa la heurstica avanzada, que mejora significativamente las tasas de deteccin. Adems de los nuevos archivos creados, tambin se exploran los archivos de autoextraccin (.sfx) y los empaquetadores de tiempo de ejecucin (archivos ejecutables comprimidos internamente). En forma predeterminada, los archivos comprimidos se exploran hasta el dcimo nivel de anidado y se verifican independientemente de su tamao real. Para modificar la configuracin de la exploracin de archivos comprimidos, anule la seleccin de la opcin correspondiente a la configuracin predeterminada para explorar archivos comprimidos. Parmetros adicionales de ThreatSense.Net para los archivos ejecutados: en forma predeterminada, la heurstica avanzada no se usa cuando se ejecutan los archivos. No obstante, quiz desee habilitar esta opcin en casos especficos (seleccionando la opcin Heurstica avanzada para los archivos ejecutados). Tenga en cuenta que la heurstica avanzada puede provocar demoras en la ejecucin de algunos programas debido a los mayores requisitos del sistema. 4.1.1.2 Niveles de desinfeccin La proteccin en tiempo real tiene tres niveles de desinfeccin. Para seleccionar un nivel de desinfeccin, haga clic en el botn Configurar... en la seccin Proteccin del sistema de archivos en tiempo real y luego haga clic en Desinfeccin. El primer nivel, Sin desinfeccin, muestra una ventana de alerta con opciones disponibles para cada infiltracin detectada. Deber elegir una accin para cada amenaza individualmente. Este nivel est diseado para los usuarios ms avanzados que conocen los pasos a seguir en caso de detectar una infiltracin. El nivel predeterminado automticamente elige y lleva a cabo una accin predefinida (dependiendo del tipo de infiltracin). La deteccin y eliminacin de un archivo infectado se marca con un mensaje en la esquina inferior derecha de la pantalla. Las acciones automticas no se realizan cuando la infiltracin est ubicada dentro de un archivo comprimido (que tambin contiene archivos no infectados) ni cuando los objetos infectados no cuentan con una accin predefinida. El tercer nivel, Desinfeccin estricta, es el ms "agresivo", ya que desinfecta todos los objetos infectados. Como este nivel puede provocar la posible prdida de archivos vlidos, es recomendable utilizarlo slo en situaciones especficas.

    52

    4.1.1.3 Cundo modificar la configuracin de la proteccin en tiempo real La proteccin en tiempo real es el componente primordial para mantener un sistema seguro. En consecuencia, tenga en cuenta que debe ser precavido al modificar sus parmetros. Recomendamos modificar dichos parmetros nicamente en casos especficos. Por ejemplo, si existe un conflicto con una aplicacin en particular o con el mdulo de exploracin en tiempo real de otro programa antivirus. Luego de la instalacin de ESET Mail Security, todas las configuraciones se optimizan para proporcionar el mximo nivel de seguridad del sistema para los usuarios. Para restaurar la configuracin predeterminada, haga clic en el botn Configuracin predeterminada ubicado en el extremo inferior derecho de la ventana Proteccin del sistema de archivos en tiempo real (Configuracin avanzada > Antivirus y antispyware > Proteccin del sistema de archivos en tiempo real). 4.1.1.4 Verificacin de la proteccin en tiempo real Para verificar que la proteccin en tiempo real se encuentra activa y es capaz de detectar virus, use el archivo de prueba de eicar.com. Este archivo de prueba es un archivo especial e inofensivo, que es detectado por todos los programas antivirus. El archivo fue creado por la empresa EICAR (Instituto Europeo para la Investigacin de los Antivirus Informticos, por sus siglas en ingls) para comprobar la eficacia de los programas antivirus. El archivo eicar.com se puede descargar desde http://www.eicar.org/download/eicar.com NOTA: Antes de realizar una verificacin de la proteccin en tiempo real, es necesario deshabilitar el firewall. Si el firewall est habilitado, detectar el archivo e impedir la descarga de los archivos de prueba.

    53

    4.1.1.5 Qu hacer si la proteccin en tiempo real no funciona En esta seccin, se describirn situaciones que pueden presentar problemas al utilizar la proteccin en tiempo real y se indicar cmo resolverlas. La proteccin en tiempo real est deshabilitada Si un usuario desactiv la proteccin en tiempo real sin darse cuenta, ser necesario volver a activarla. Para reactivar la proteccin en tiempo real, vaya a Configuracin > Antivirus y antispyware y haga clic en Habilitar la proteccin del sistema de archivos en tiempo real en la ventana principal del programa. Si la proteccin en tiempo real no se activa durante el inicio del sistema, es posible que se deba a que la opcin Iniciar automticamente la proteccin del sistema de archivos en tiempo real est deshabilitada. Para habilitar esta opcin, vaya a Configuracin avanzada (F5) y haga clic en Proteccin del sistema de archivos en tiempo real en el rbol de configuracin avanzada. En la seccin Configuracin avanzada en la parte inferior de la ventana, compruebe que la casilla de verificacin Iniciar automticamente la proteccin del sistema de archivos en tiempo real est seleccionada.

    La proteccin en tiempo real no detecta ni desinfecta infiltraciones Asegrese de que no haya otros programas antivirus instalados en el equipo. Si estn habilitados dos escudos de proteccin en tiempo real al mismo tiempo, es posible que entren en conflicto. Se recomienda desinstalar cualquier otro programa antivirus del sistema. La proteccin en tiempo real no se inicia Si la proteccin en tiempo real no se activa durante el inicio del sistema (y la opcin Iniciar automticamente la proteccin del sistema de archivos en tiempo real est habilitada), es posible que se deba a la existencia de conflictos con otros programas. En este caso, consulte a los especialistas de atencin al cliente de ESET.

    54

    4.1.2 Proteccin del cliente de correo electrnico La proteccin del correo electrnico permite verificar las comunicaciones de correo electrnico recibidas a travs del protocolo POP3. Usando el complemento para Microsoft Outlook, ESET Mail Security controla todas las comunicaciones del cliente de correo electrnico (POP3, MAPI, IMAP, HTTP). Cuando examina los mensajes entrantes, el programa usa todos los mtodos de exploracin avanzados provistos por el motor de anlisis ThreatSense. Esto significa que la deteccin de programas maliciosos se lleva a cabo incluso antes de compararse con la base de datos con firmas de virus. La exploracin de las comunicaciones del protocolo POP3 es independiente de la aplicacin de correo electrnico que se utilice. 4.1.2.1 Verificacin de POP3 POP3 es el protocolo de uso ms generalizado para recibir comunicaciones de correo electrnico en una aplicacin de cliente de correo electrnico. ESET Mail Security brinda proteccin para este protocolo independientemente del cliente de correo utilizado. El mdulo de proteccin que proporciona este control se inicia automticamente al arrancar el sistema operativo y luego queda activo en la memoria. Para que el mdulo funcione correctamente, asegrese de que est habilitado; la exploracin POP3 se realiza automticamente sin necesidad de reconfigurar el cliente de correo electrnico. En forma predeterminada, se exploran todas las comunicaciones en el puerto 110, pero se pueden agregar otros puertos de comunicacin si es necesario. Los nmeros de puerto deben delimitarse por una coma. Las comunicaciones cifradas no se controlan. Para poder utilizar el filtrado de POP3/POP3S, primero es necesario habilitar el Filtrado de protocolos. Si las opciones POP3/POP3S estn sombreadas en gris, vaya a Proteccin del equipo > Antivirus y antispyware > Filtrado de protocolos desde el interior del rbol de configuracin avanzada y seleccione la opcin Habilitar el filtrado del contenido de los protocolos de aplicacin. Consulte la seccin Filtrado de protocolos para obtener ms detalles sobre el filtrado y la configuracin.

    55

    4.1.2.1.1 Compatibilidad Determinados programas de correo electrnico pueden experimentar problemas con el filtrado de POP3 (por ejemplo, al recibir mensajes con una conexin a Internet lenta, se puede exceder el tiempo de espera debido a la verificacin). En este caso, intente modificar la forma en que se realiza el control. Reducir el nivel del control puede mejorar la velocidad del proceso de desinfeccin. Para ajustar el nivel de control del filtrado de POP3, desde el rbol de configuracin avanzada, vaya a Antivirus y antispyware > Proteccin del correo electrnico > POP3, POP3S > Compatibilidad. Si la Eficiencia mxima est habilitada, las infiltraciones se eliminan de los mensajes infectados y se inserta informacin sobre la infiltracin adelante del asunto original del mensaje (deben estar activadas las opciones Eliminar o Desinfectar, o debe estar habilitado el nivel de desinfeccin Estricta o Predeterminada). El Nivel medio de compatibilidad modifica la forma en que se reciben los mensajes. Los mensajes se envan gradualmente al cliente de correo electrnico. Despus de que se transfiere la ltima parte del mensaje, se explorar en busca de infiltraciones. El riesgo de infeccin aumenta con este nivel de control. El nivel de desinfeccin y el tratamiento de los mensajes de etiqueta (alertas de notificacin agregadas a la lnea del asunto y al cuerpo de los correos electrnicos) son idnticos a la configuracin de eficiencia mxima. En el Nivel mximo de compatibilidad, una ventana de alerta le advierte al usuario sobre la recepcin de un mensaje infectado. No se agregar ninguna informacin sobre los archivos infectados a la lnea del asunto o al cuerpo del correo electrnico de los mensajes enviados y las infiltraciones no se eliminarn automticamente: se debern eliminar desde el cliente de correo electrnico.

    4.1.2.2 Integracin con los clientes de correo electrnico La integracin de ESET Mail Security con clientes de correo electrnico incrementa el nivel de proteccin activa frente a cdigos maliciosos en los mensajes de correo electrnico. Si su cliente de correo electrnico es compatible, la integracin se puede habilitar en ESET Mail Security. Cuando la integracin est activada, la barra de herramientas del antispam de ESET Mail Security se inserta directamente en el cliente de correo electrnico, permitiendo una proteccin ms eficaz del correo electrnico. Las opciones de configuracin de la integracin estn disponibles en Configuracin > Ingresar al rbol completo de configuracin avanzada... > Varios > Integracin con el cliente de correo electrnico. La funcin de integracin del cliente de correo electrnico permite activar la integracin con los clientes de correo electrnico compatibles. Entre los clientes de correo electrnico actualmente compatibles, se incluyen Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail y Mozilla Thunderbird.
    56

    Seleccione la opcin Deshabilitar la verificacin en caso de cambios en el contenido del buzn de entrada si nota que el sistema funciona con mayor lentitud mientras trabaja con el cliente de correo electrnico. Este tipo de situacin puede presentarse al descargar correos electrnicos desde Kerio Outlook Connector Store. La proteccin del correo electrnico se activa haciendo clic en Configuracin > Ingresar al rbol completo de configuracin avanzada... > Antivirus y antispyware > Proteccin del cliente de correo electrnico y seleccionando la opcin Habilitar la proteccin antivirus y antispyware para el cliente de correo electrnico.

    4.1.2.2.1 Adhesin de mensajes de etiqueta al cuerpo de los correos electrnicos Cada correo electrnico explorado por ESET Mail Security se puede marcar agregando un mensaje de etiqueta al asunto o cuerpo del correo. Esta funcin aumenta el nivel de credibilidad para el destinatario y, si se detecta una infiltracin, proporciona informacin valiosa sobre el nivel de amenaza de un correo electrnico o remitente determinado. Las opciones de esta funcionalidad estn disponibles en Configuracin avanzada > Antivirus y antispyware > Proteccin del cliente de correo electrnico. Puede seleccionar Aadir mensajes de etiqueta a los correos electrnicos recibidos y ledos, as como Aadir mensajes de etiqueta a los correos electrnicos enviados. Tambin tiene la opcin de decidir si los mensajes de etiqueta se agregarn a todos los correos electrnicos explorados, nicamente al correo electrnico infectado o a ningn correo. ESET Mail Security tambin permite agregar mensajes al asunto original de los mensajes infectados. Para habilitar la adhesin de mensajes, seleccione tanto Aadir una nota al asunto de los correos electrnicos infectados que fueron recibidos y ledos como Aadir una nota al asunto de los correos electrnicos infectados enviados. El contenido de las notificaciones puede modificarse en el campo Plantilla aadida al asunto del correo electrnico infectado. Las modificaciones mencionadas pueden ayudar a automatizar el proceso de filtrado de correo electrnico, ya que permite filtrar mensajes de correo con un asunto especfico (si es compatible con su cliente de correo electrnico) envindolos a una carpeta separada.

    57

    4.1.2.3 Eliminacin de infiltraciones Si recibe un mensaje de correo electrnico infectado, se mostrar una ventana de alerta. La ventana de alerta indica el nombre del remitente, el correo electrnico y el nombre de la infiltracin. En la parte inferior de la ventana, estn disponibles las opciones Desinfectar, Eliminar o Sin accin para el objeto detectado. En casi todos los casos, es recomendable elegir Desinfectar o Eliminar. En situaciones especiales, si desea recibir el archivo infectado, seleccione Sin accin. Si la Desinfeccin estricta est habilitada, se mostrar una ventana de informacin sin opciones disponibles para los objetos infectados. 4.1.3 Proteccin del acceso a la Web La conectividad a Internet es una funcin estndar del equipo personal. Lamentablemente, tambin se ha convertido en el medio principal para transferir cdigos maliciosos. Por ese motivo, es esencial que considere con mucho cuidado su proteccin del acceso a la Web. Se recomienda firmemente que la opcin Habilitar la proteccin antivirus y antispyware para el acceso a la Web est seleccionada. Esta opcin est ubicada en Configuracin avanzada (F5) > Antivirus y antispyware > Proteccin del acceso a la Web.

    4.1.3.1 HTTP, HTTPS La funcin de la proteccin del acceso a la Web es supervisar la comunicacin entre los navegadores de Internet y los servidores remotos, segn las disposiciones normativas de HTTP (protocolo de transferencia de hipertexto) y HTTPS (comunicacin cifrada). ESET Mail Security est configurado en forma predeterminada para utilizar los estndares de la mayora de los navegadores de Internet. No obstante, es posible modificar las opciones de configuracin del mdulo de exploracin HTTP en Configuracin avanzada (F5) > Antivirus y antispyware > Proteccin del acceso a la Web > HTTP, HTTPS. En la ventana principal de filtrado HTTP, se puede seleccionar o quitar la seleccin de la opcin Habilitar la verificacin de HTTP. Tambin puede definir los nmeros de puerto utilizados para la comunicacin HTTP. En forma predeterminada, se utilizan los nmeros de puerto 80, 8080 y 3128. La verificacin HTTPS puede realizarse en los dos modos siguientes: No verificar el protocolo HTTPS: no se verificarn las comunicaciones cifradas

    58

    Verificar el protocolo HTTPS para los puertos seleccionados: la verificacin HTTP nicamente se usar para los puertos definidos en Puertos utilizados por el protocolo HTTPS

    59

    4.1.3.1.1 Administracin de direcciones En esta seccin podr indicar las direcciones HTTP que desea bloquear, permitir o excluir de la verificacin. Los botones Agregar..., Editar..., Quitar y Exportar... se usan para administrar las listas de direcciones. Los sitios Web incluidos en la lista de direcciones bloqueadas no sern accesibles. Los sitios Web incluidos en la lista de direcciones excluidas sern accesibles sin explorarse en busca de cdigos maliciosos. Si selecciona la opcin Solo permitir el acceso a las direcciones HTTP de la lista de direcciones permitidas, nicamente se podr acceder a las direcciones presentes en la lista de direcciones permitidas, mientras que todas las dems direcciones HTTP quedarn bloqueadas. En todas las listas, pueden utilizarse los caracteres globales * (asterisco) y ? (signo de interrogacin). El asterisco sustituye a cualquier cadena de caracteres y el signo de interrogacin, a cualquier smbolo. Tenga especial cuidado al especificar direcciones excluidas, ya que la lista solo debe contener direcciones seguras y de confianza. Del mismo modo, es necesario asegurarse de que los smbolos * y ? se utilicen correctamente en esta lista. Para activar una lista, seleccione la opcin Lista activa. Si desea recibir notificaciones cuando ingresa a una de las direcciones de la lista actual, seleccione la opcin Notificar cuando se empleen direcciones de la lista.

    60

    4.1.3.1.2 Modo activo ESET Mail Security tambin incluye la funcin de navegadores Web, que permite definir si la aplicacin especfica es un navegador o no. Si una aplicacin se marca como navegador, todas las comunicaciones realizadas desde esta aplicacin se supervisan independientemente de los nmeros de puerto que participan en ella. La funcin de navegadores Web complementa la funcin de verificacin de HTTP, ya que sta slo se realiza en puertos predefinidos. Sin embargo, muchos servicios de Internet utilizan nmeros de puerto desconocidos o que varan constantemente. Para ello, la funcin de navegador Web puede establecer el control de las comunicaciones de puerto independientemente de los parmetros de conexin.

    Se puede acceder a la lista de aplicaciones marcadas como navegadores Web desde el submen Navegadores Web de la seccin HTTP, HTTPS. Esta seccin tambin contiene el submen Modo activo que define el modo de verificacin de los navegadores Web.

    61

    El Modo activo resulta til porque examina los datos transferidos en forma conjunta. Si no est habilitado, la comunicacin de las aplicaciones se supervisa gradualmente en lotes. Esto reduce la eficacia del proceso de verificacin de datos, pero tambin proporciona mayor compatibilidad para las aplicaciones enumeradas. Si no surgen problemas durante su uso, es recomendable activar el modo de verificacin activa seleccionando la casilla de verificacin junto a la aplicacin deseada.

    4.1.4 Exploracin bajo demanda del equipo Si sospecha que el equipo est infectado (se comporta en forma anormal), ejecute una Exploracin bajo demanda del equipo para examinarlo en busca de infiltraciones. Desde el punto de vista de la seguridad, es esencial que las exploraciones del equipo no se ejecuten solo cuando existen sospechas de una infeccin, sino en forma habitual como parte de una medida de seguridad de rutina. La exploracin de rutina puede detectar infiltraciones que la exploracin en tiempo real no detect cuando se guardaron en el disco. Esta situacin puede ocurrir si la exploracin en tiempo real no estaba habilitada en el momento de la infeccin o si la base de datos de firmas de virus no est actualizada. Se recomienda ejecutar una exploracin del equipo bajo demanda al menos una vez al mes. La exploracin se puede configurar como una tarea programada en Herramientas > Tareas programadas.

    62

    4.1.4.1 Tipo de exploracin Se encuentran disponibles dos tipos de exploracin del equipo bajo demanda. Exploracin inteligente: explora rpidamente el sistema sin necesidad de realizar configuraciones adicionales de los parmetros de exploracin. Exploracin personalizada...: permite seleccionar cualquiera de los perfiles de exploracin predefinidos, as como elegir objetos especficos para la exploracin.

    4.1.4.1.1 Exploracin inteligente La exploracin inteligente permite iniciar rpidamente una exploracin del equipo y desinfectar los archivos infectados sin necesidad de la intervencin del usuario. La ventaja principal es su manejo sencillo, ya que no requiere una configuracin detallada de la exploracin. La exploracin inteligente verifica todos los archivos de las unidades locales y desinfecta o elimina las infiltraciones detectadas. El nivel de desinfeccin est establecido automticamente en el valor predeterminado. Para obtener informacin ms detallada sobre los tipos de desinfeccin, consulte la seccin Desinfeccin 69 . 4.1.4.1.2 Exploracin personalizada La exploracin personalizada es una solucin ideal si desea especificar los parmetros de exploracin, tales como los objetos para explorar y los mtodos de exploracin. La ventaja de la exploracin personalizada es la capacidad de configurar los parmetros detalladamente. Es posible guardar las configuraciones en perfiles de exploracin definidos por el usuario, lo que resulta til si la exploracin se efecta reiteradamente usando los mismos parmetros. Para elegir los objetos para explorar, seleccione Exploracin del equipo > Exploracin personalizada y elija una opcin del men desplegable Objetos para explorar o seleccione objetos especficos desde la estructura con forma de de rbol. El objeto para explorar tambin puede definirse con mayor precisin ingresando la ruta a las carpetas o archivos que desea incluir. Si solo le interesa explorar el sistema sin realizar acciones adicionales de desinfeccin, seleccione la opcin Explorar sin desinfectar. Adems, puede elegir entre tres niveles de desinfeccin haciendo clic en Configuracin... > Desinfeccin.

    63

    4.1.4.2 Objetos para explorar El men desplegable Objetos para explorar permite seleccionar los archivos, carpetas y dispositivos (discos) que se explorarn en busca de virus. Por configuracin de perfil: selecciona los objetos especificados en el perfil de exploracin seleccionado Medios extrables: selecciona disquetes, dispositivos de almacenamiento USB, CD/DVD Unidades locales: selecciona todos los discos rgidos del sistema Unidades de red: selecciona todas las unidades asignadas Sin seleccin: cancela todas las selecciones El objeto para explorar tambin puede definirse con mayor precisin ingresando la ruta a las carpetas o archivos que desea incluir en la exploracin. Seleccione los objetos desde la estructura en forma de rbol que incluye la lista de todos los dispositivos disponibles en el equipo.

    64

    4.1.4.3 Perfiles de exploracin Es posible guardar los parmetros preferidos de exploracin para usarlos en el futuro. Se recomienda crear un perfil distinto (con varios objetos para explorar, mtodos de exploracin y otros parmetros) para cada exploracin utilizada regularmente. Para crear un nuevo perfil, abra la ventana de configuracin avanzada (F5) y haga clic en Exploracin bajo demanda del equipo > Perfiles... La ventana Perfiles de configuracin ofrece un men desplegable con los perfiles de exploracin existentes as como la opcin de crear uno nuevo. Para obtener ayuda sobre cmo crear un perfil de exploracin acorde a sus necesidades, consulte la seccin Configuracin de los parmetros del motor ThreatSense 66 , donde obtendr la descripcin de cada parmetro de la configuracin de la exploracin. EJEMPLO: Suponga que desea crear su propio perfil de exploracin y la configuracin de la exploracin inteligente es parcialmente adecuada, pero no desea explorar empaquetadores en tiempo real o aplicaciones potencialmente no seguras y adems quiere aplicar una Desinfeccin estricta. En la ventana Perfiles de configuracin, haga clic en el botn Agregar.... Ingrese el nombre de su nuevo perfil en el campo Nombre del perfil, y seleccione Exploracin inteligente desde el men desplegable Copiar configuracin desde el perfil:. Finalmente, ajuste los parmetros restantes segn sus necesidades.

    4.1.5 Rendimiento En esta seccin, puede establecer la cantidad de motores de exploracin ThreatSense que se usarn para la exploracin de virus. La existencia de ms motores de exploracin ThreatSense en equipos con varios procesadores puede incrementar la tasa de exploracin. El valor aceptable es entre 1 y 20. NOTA: Los cambios que se hagan en esta seccin recin se aplicarn tras reiniciar el sistema. 4.1.6 Filtrado de protocolos El motor de exploracin ThreatSense, que integra perfectamente todas las tcnicas avanzadas para la exploracin de malware, proporciona la proteccin antivirus de los protocolos de aplicacin POP3 y HTTP. El control funciona en forma automtica independientemente del navegador Web o del cliente de correo electrnico utilizado. Estn disponibles las siguientes opciones para el filtrado de protocolos (si la opcin Habilitar el filtrado del contenido de los protocolos de aplicacin se encuentra seleccionada): Los puertos HTTP y POP3: limita la exploracin de la comunicacin a puertos HTTP y POP3 conocidos. Las aplicaciones marcadas como navegadores de Internet y clientes de correo electrnico: habilite esta opcin para filtrar nicamente la comunicacin de aplicaciones marcadas como navegadores Web (Proteccin del acceso a la Web > HTTP, HTTPS > Navegadores Web) y clientes de correo electrnico (Proteccin del cliente de correo electrnico > POP3, POP3S > Clientes de correo electrnico). Puertos y aplicaciones marcados como navegadores de Internet o clientes de correo electrnico: tanto los puertos como los navegadores se verifican en busca de malware. NOTA: Desde Windows Vista Service Pack 1 y Windows Server 2008, se usa un nuevo mtodo para filtrar la comunicacin. Como resultado, la seccin de filtrado de protocolos no est disponible.

    65

    4.1.6.1 SSL ESET Mail Security permite verificar los protocolos encapsulados en el protocolo SSL. Puede utilizar varios modos de exploracin para las comunicaciones protegidas por SSL: mediante certificados de confianza, certificados desconocidos o certificados excluidos de la verificacin de comunicaciones protegidas por SSL. Explorar siempre el protocolo SSL: seleccione esta opcin para explorar todas las comunicaciones protegidas por SSL excepto las protegidas por certificados excluidos de la verificacin. Si se establece una nueva comunicacin que use un certificado firmado desconocido, no se notificar al usuario y se filtrar la comunicacin en forma automtica. Al acceder a un servidor con un certificado no confiable que fue marcado por el usuario como de confianza (se agrega a la lista de certificados de confianza), se permite la comunicacin con el servidor y se filtra el contenido del canal de comunicacin. Preguntar sobre los sitios no visitados (se pueden establecer exclusiones): si entra en un nuevo sitio protegido por SSL (con un certificado desconocido), se muestra un cuadro de dilogo con una seleccin de acciones posibles. Este modo permite crear una lista de certificados SSL que se excluirn de la exploracin. No usar la verificacin del protocolo SSL: si esta opcin est seleccionada, el programa no explorar las comunicaciones con el protocolo SSL. Si el certificado no se puede verificar mediante el almacn de entidades de certificacin raz de confianza (Filtrado de protocolos > SSL > Certificados): Preguntar sobre la validez del certificado: le pide al usuario que seleccione una accin para realizar. Bloquear las comunicaciones que usan el certificado: finaliza la conexin con el sitio que usa el certificado. Si el certificado no es vlido o est daado (Filtrado de protocolos > SSL > Certificados): Preguntar sobre la validez del certificado: le pide al usuario que seleccione una accin para realizar. Bloquear las comunicaciones que usan el certificado: finaliza la conexin con el sitio que usa el certificado. 4.1.6.1.1 Certificados de confianza Adems del almacn integrado de entidades de certificacin raz de confianza donde ESET Mail Security almacena los certificados confiables, el usuario puede crear una lista personalizada de certificados de confianza que se pueden ver en Configuracin avanzada (F5) > Filtrado de protocolos > SSL > Certificados > Certificados de confianza. 4.1.6.1.2 Certificados excluidos La seccin Certificados excluidos contiene los certificados que se consideran seguros. El contenido de las comunicaciones cifradas que usen los certificados de la lista no se verificarn en busca de amenazas. Es recomendable excluir solo aquellos certificados Web garantizados como seguros y cuyas comunicaciones no requieran verificacin. 4.1.7 Configuracin de los parmetros del motor ThreatSense ThreatSense es el nombre de la tecnologa conformada por mtodos complejos de deteccin de amenazas. Esta tecnologa es proactiva, lo que significa que tambin brinda proteccin durante las primeras horas de propagacin de una nueva amenaza. Utiliza una combinacin de mtodos distintos (la exploracin del cdigo, la emulacin del cdigo, las firmas genricas, las firmas de virus) que funcionan conjuntamente para mejorar en forma significativa la seguridad del sistema. El motor de exploracin cuenta con la capacidad de controlar varios flujos de datos simultneamente, lo que maximiza la eficiencia y la tasa de deteccin. La tecnologa ThreatSense tambin elimina con xito los rootkits. Las opciones de configuracin de la tecnologa ThreatSense permiten especificar varios parmetros de exploracin: Los tipos de archivos y las extensiones que se van a explorar La combinacin de diversos mtodos de deteccin Los niveles de desinfeccin, etc.

    66

    Para abrir la ventana de configuracin, haga clic en el botn Configurar... ubicado en la ventana de configuracin de cualquiera de los mdulos que usen la tecnologa ThreatSense (ver abajo). Diferentes escenarios de seguridad pueden requerir distintas configuraciones. Por ese motivo, ThreatSense puede configurarse en forma individual para cada uno de los siguientes mdulos de proteccin: Proteccin del sistema de archivos en tiempo real Verificacin de archivos de inicio del sistema Proteccin del correo electrnico Proteccin del acceso a la Web Exploracin bajo demanda del equipo Los parmetros de ThreatSense estn altamente optimizados para cada mdulo y su modificacin puede afectar el funcionamiento del sistema en forma significativa. Por ejemplo, la modificacin de los parmetros para que siempre se exploren los empaquetadores de tiempo de ejecucin, o la habilitacin de la heurstica avanzada en el mdulo de proteccin del sistema de archivos en tiempo real podran ralentizar el sistema (normalmente, solo se exploran con estos mtodos los nuevos archivos creados). En consecuencia, se recomienda mantener los parmetros predeterminados de ThreatSense sin modificaciones en todos los mdulos excepto para la Exploracin bajo demanda del equipo. 4.1.7.1 Configuracin de objetos La seccin Objetos permite definir qu componentes y archivos del equipo se explorarn en busca de infiltraciones.

    Memoria operativa: explora en busca de amenazas que atacan la memoria operativa del sistema. Sectores de inicio: explora los sectores de inicio para detectar la presencia de virus en el Master Boot Record. Archivos: explora todos los tipos de archivos comunes (programas, imgenes, archivos de audio, de video, de bases de datos, etc.). Archivos de correo electrnico: explora archivos especiales que contienen mensajes de correo electrnico. Archivos comprimidos: proporciona la exploracin de los archivos contenidos en archivos comprimidos (.rar, .zip, . arj, .tar, etc.). Archivos comprimidos de autoextraccin: explora los archivos contenidos en archivos comprimidos de autoextraccin, pero que generalmente se presentan con una extensin .exe. Empaquetadores de tiempo de ejecucin: a diferencia de los tipos estndar de archivos, los empaquetadores de tiempo de ejecucin se descomprimen en la memoria, adems de los empaquetadores estndar estticos (UPX, yoda, ASPack, FGS, etc.).

    67

    4.1.7.2 Opciones En la seccin Opciones, puede seleccionar los mtodos que se usan durante la exploracin del sistema en busca de infiltraciones. Se encuentran disponibles las siguientes opciones: Firmas: las firmas tienen la capacidad de detectar e identificar en forma exacta y confiable las infiltraciones por su nombre mediante el uso de firmas de virus. Heurstica: la heurstica usa un algoritmo que analiza la actividad de los programas (maliciosos). La ventaja principal de la deteccin heurstica radica en la capacidad de detectar nuevos programas maliciosos que antes no existan o que an no estn incluidos en la lista de virus conocidos (base de datos de firmas de virus). Heurstica avanzada: la heurstica avanzada comprende un algoritmo heurstico nico, desarrollado por ESET, optimizado para detectar gusanos informticos y troyanos creados con lenguajes de programacin de ltima generacin. Gracias a la heurstica avanzada, las capacidades de deteccin del programa son significativamente mayores. Adware/Spyware/Riskware: esta categora incluye programas que recopilan diversos tipos de informacin confidencial sobre los usuarios sin su conocimiento o consentimiento. En esta categora tambin se incluyen los programas que muestran material publicitario. Aplicaciones potencialmente no deseadas: las aplicaciones potencialmente no deseadas no tienen necesariamente la intencin de ser maliciosas, pero pueden afectar el rendimiento de su equipo en forma negativa. Dichas aplicaciones suelen requerir el consentimiento del usuario para su instalacin. Si estn presentes en el equipo, el sistema se comporta de manera diferente (al compararlo con el estado previo a su instalacin). Los cambios ms significativos incluyen ventanas emergentes no deseadas, la activacin y ejecucin de procesos ocultos, un incremento en el uso de los recursos del sistema, cambios en los resultados de las bsquedas y aplicaciones que se comunican con servidores remotos. Aplicaciones potencialmente no seguras: las aplicaciones potencialmente no seguras es la clasificacin usada para programas comerciales y legtimos. Incluye programas como herramientas de acceso remoto, razn por la cual la opcin se encuentra desactivada en forma predeterminada.

    68

    4.1.7.3 Desinfeccin La configuracin de la desinfeccin determina el comportamiento del mdulo de exploracin durante la desinfeccin de los archivos infectados. Existen tres niveles de desinfeccin:

    Sin desinfeccin: los archivos infectados no se desinfectan automticamente. El programa mostrar una ventana de advertencia y le pedir que seleccione una accin. Desinfeccin estndar: el programa intentar desinfectar o eliminar el archivo infectado automticamente. Si no es posible seleccionar la accin correcta en forma automtica, el programa le ofrecer las acciones que se pueden realizar. Estas opciones de acciones posibles tambin se mostrarn en caso de que una accin predefinida no se haya completado. Desinfeccin estricta: el programa desinfectar o eliminar todos los archivos infectados (incluyendo los archivos comprimidos). Las nicas excepciones son los archivos del sistema. Si no es posible desinfectarlos, el programa mostrar una ventana de advertencia ofreciendo una accin. Advertencia: En el modo predeterminado, solo se eliminar el archivo comprimido completo si todos los archivos que contiene estn infectados. Si el archivo comprimido tambin contiene archivos legtimos, no se eliminar. Si se detecta un archivo comprimido infectado en el modo de desinfeccin estricta, se eliminar el archivo comprimido completo, incluso si contiene archivos no infectados.

    69

    4.1.7.4 Extensiones Una extensin es la parte delimitada por un punto en el nombre de un archivo. La extensin define el tipo de archivo y su contenido. Esta seccin de la configuracin de los parmetros de ThreatSense permite definir los tipos de archivos que se van a explorar.

    En forma predeterminada, se exploran todos los archivos independientemente de su extensin. Se puede agregar cualquier extensin a la lista de archivos excluidos de la exploracin. Si la opcin Explorar todos los archivos no est seleccionada, la lista pasa a mostrar todas las extensiones de archivos actualmente explorados. Mediante el uso de los botones Agregar y Quitar, puede permitir o prohibir la exploracin de las extensiones deseadas. Para habilitar la exploracin de archivos sin extensin, seleccione la opcin Explorar los archivos sin extensin. A veces es necesario excluir ciertos tipos de archivos de la exploracin cuando dicha exploracin impide que el programa que est usando esas extensiones funcione correctamente. Por ejemplo, puede ser recomendable excluir las extensiones .edb, .eml y .tmp al usar los servidores de Microsoft Exchange. 4.1.7.5 Lmites La seccin Lmites permite especificar el tamao mximo de los objetos y los niveles de los archivos comprimidos anidados que se explorarn: Tamao mximo del objeto: Define el tamao mximo de los objetos que se van a explorar. El mdulo antivirus correspondiente explorar solo los objetos con un tamao inferior al especificado. No se recomienda cambiar el valor predeterminado, ya que normalmente no existe ninguna razn para modificarlo. Los nicos que deberan modificar esta opcin son los usuarios avanzados que tengan motivos especficos para excluir objetos de mayor tamao de la exploracin. Tiempo mximo de exploracin del objeto (seg.): Define el valor mximo de tiempo permitido para explorar un objeto. Si en esta opcin se ingres un valor definido por el usuario, el mdulo antivirus detendr la exploracin de un objeto cuando haya transcurrido dicho tiempo, sin importar si finaliz la exploracin. Nivel de anidado de archivos comprimidos: Especifica la profundidad mxima de la exploracin de archivos comprimidos. No se recomienda cambiar el valor predeterminado de 10: en circunstancias normales no existe ninguna razn para modificarlo. Si la exploracin finaliza prematuramente debido a la cantidad de archivos comprimidos anidados, el archivo comprimido quedar sin verificar. Tamao mximo del archivo incluido en el archivo comprimido: Esta opcin permite especificar el tamao mximo de los archivos incluidos en archivos comprimidos (al extraerlos) que se explorarn. Si esta configuracin provoca que la exploracin de un archivo comprimido finalice antes de tiempo, el archivo comprimido quedar sin verificarse.
    70

    4.1.7.6 Otros Explorar secuencias de datos alternativas (ADS): las secuencias de datos alternativas (ADS) usadas por el sistema de archivos NTFS constituyen asociaciones de archivos y carpetas que son invisibles para las tcnicas comunes de exploracin. Muchas infiltraciones intentan evitar la deteccin camuflndose como secuencias de datos alternativas. Realizar exploraciones en segundo plano con baja prioridad: cada secuencia de exploracin consume una cantidad determinada de recursos del sistema. Si se trabaja con programas cuyo consumo de recursos constituye una carga importante para el sistema, es posible activar la exploracin en segundo plano con baja prioridad y reservar los recursos para las aplicaciones. Registrar todos los objetos: si se selecciona esta opcin, el archivo de registro mostrar todos los archivos explorados, incluso los que no estn infectados. Habilitar la optimizacin inteligente: seleccione esta opcin para que los archivos que ya se exploraron no se vuelvan a explorar reiteradamente (a menos que se hayan modificado). Los archivos se vuelven a explorar de inmediato luego de cada actualizacin de la base de datos de firmas de virus. Preservar el ltimo acceso con su fecha y hora: seleccione esta opcin para preservar la hora de acceso original a los archivos explorados en vez de actualizarla (por ej., para usarlos con sistemas que realizan copias de seguridad de datos). Desplazar registro: esta opcin permite habilitar o deshabilitar el desplazamiento del registro. Si est seleccionada, la informacin se desplaza hacia arriba dentro de la ventana de visualizacin. Cuando finaliza la exploracin, mostrar la notificacin en una ventana aparte: abre una ventana independiente con informacin sobre los resultados de la exploracin. 4.1.8 Deteccin de una infiltracin Las infiltraciones pueden llegar al sistema desde diversos puntos de entrada: pginas Web, carpetas compartidas, a travs del correo electrnico o de dispositivos extrables (USB, discos externos, CD, DVD, disquetes, etc.). Si su equipo muestra signos de infeccin por malware, por ej., funciona ms lento, con frecuencia no responde, etc., se recomienda hacer lo siguiente: Abra ESET Mail Security y haga clic en Exploracin del equipo Haga clic en Exploracin inteligente (para obtener ms informacin, consulte la seccin Exploracin inteligente 63 ) Una vez finalizada la exploracin, consulte el registro para verificar la cantidad de archivos explorados, infectados y desinfectados. Si solo desea explorar una parte determinada del disco, haga clic en Exploracin personalizada y seleccione los objetos para explorar en busca de virus. Como ejemplo general de la forma en que ESET Mail Security maneja las infiltraciones, imagine que el monitor del sistema de archivos en tiempo real, que usa el nivel predeterminado de desinfeccin, detecta una infiltracin. A continuacin, intentar desinfectar o eliminar el archivo. Si no hay ninguna accin predefinida para el mdulo de proteccin en tiempo real, el programa le pedir que seleccione una opcin en una ventana de alerta. Por lo general estn disponibles las opciones Desinfectar, Eliminar y Sin accin. No se recomienda seleccionar Sin accin, ya que de esa forma los archivos infectados quedaran intactos. La excepcin a este consejo es cuando usted est seguro de que el archivo es inofensivo y fue detectado por error.

    71

    Desinfeccin y eliminacin: Elija la opcin de desinfeccin si un virus atac un archivo y le ha adjuntado cdigos maliciosos. En este caso, primero intente desinfectar el archivo infectado para restaurarlo a su estado original. Si el archivo est compuesto exclusivamente por cdigos maliciosos, ser eliminado.

    Si un archivo infectado est "bloqueado" u otro proceso del sistema lo est usando, por lo general se elimina cuando es liberado (normalmente tras el reinicio del sistema). Eliminar archivos en archivos comprimidos: En el modo de desinfeccin predeterminado, se eliminar el archivo comprimido completo solo si todos los archivos que lo componen estn infectados. En otras palabras, los archivos comprimidos no se eliminan si tambin contienen archivos inofensivos no infectados. No obstante, tenga precaucin al realizar una exploracin con Desinfeccin estricta: con la Desinfeccin estricta, el archivo comprimido se eliminar si al menos contiene un archivo infectado, sin importar el estado de los dems archivos que lo componen.

    4.2 Actualizacin del programa


    Las actualizaciones de rutina de ESET Mail Security son esenciales para obtener el mximo nivel de seguridad. El mdulo de actualizacin garantiza que el programa est siempre al da de dos maneras: actualizando la base de datos de firmas de virus y los componentes del sistema. Al hacer clic en Actualizacin en el men principal, encontrar el estado actual de la actualizacin, incluyendo la fecha y la hora de la ltima actualizacin correcta y si se necesita una nueva actualizacin. La ventana principal tambin contiene la versin de la base de datos de firmas de virus. Este indicador numrico es un vnculo activo al sitio Web de ESET, donde aparece una lista con todas las firmas agregadas en esa actualizacin en particular. Adems est disponible la opcin de iniciar manualmente el proceso de actualizacin Actualizar la base de datos de firmas de virus, as como las opciones bsicas de configuracin de la actualizacin, como el nombre de usuario y la contrasea para acceder a los servidores de actualizacin de ESET.

    72

    Utilice el vnculo Activacin del producto para abrir un formulario de registro que activar su producto de seguridad de ESET y le enviar un correo electrnico con sus datos de autenticacin (nombre de usuario y contrasea).

    NOTA: ESET le proporciona el nombre de usuario y la contrasea tras la adquisicin de ESET Mail Security.

    73

    4.2.1 Configuracin de la actualizacin En la seccin de configuracin de la actualizacin se especifica la informacin del origen de la actualizacin, como los servidores de actualizacin y sus datos de autenticacin. En forma predeterminada, el men desplegable Servidor de actualizacin est establecido en Elegir automticamente para garantizar que los archivos de actualizacin se descarguen automticamente desde el servidor de ESET con la menor carga de trfico de red. Las opciones de configuracin de la actualizacin estn disponibles en el rbol de configuracin avanzada (F5), en la seccin Actualizacin.

    Se puede acceder a la lista de servidores de actualizacin disponibles por medio del men desplegable Servidor de actualizacin. Para agregar un nuevo servidor de actualizacin, haga clic en Editar en la seccin Configuracin de la actualizacin para el perfil seleccionado y luego haga clic en el botn Agregar. La autenticacin para los servidores de actualizacin est basada en el Nombre de usuario y la Contrasea generados y enviados al usuario tras la adquisicin del producto.

    74

    4.2.1.1 Perfiles de actualizacin Se pueden crear perfiles de actualizacin para diversas configuraciones y tareas de actualizacin. La creacin de perfiles de actualizacin resulta til en particular para usuarios mviles, que pueden crear un perfil alternativo para las propiedades de conexin a Internet que cambian con frecuencia. El men desplegable Perfil seleccionado muestra el perfil seleccionado actualmente, que en forma predeterminada est configurado en Mi perfil. Para crear un nuevo perfil, haga clic en el botn Perfiles..., luego en Agregar... e ingrese su Nombre del perfil. Al crear un nuevo perfil, puede copiar la configuracin de uno existente seleccionndolo desde el men desplegable Copiar configuracin desde el perfil.

    En la ventana de configuracin del perfil, puede especificar el servidor de actualizacin desde la lista de servidores disponibles o agregar uno nuevo. Se puede acceder a la lista de servidores de actualizacin existentes por medio del men desplegable Servidor de actualizacin. Para agregar un nuevo servidor de actualizacin, haga clic en Editar en la seccin Configuracin de la actualizacin para el perfil seleccionado y luego haga clic en el botn Agregar. 4.2.1.2 Configuracin avanzada de la actualizacin Para ver la configuracin avanzada de la actualizacin, haga clic en el botn Configurar.... Las opciones avanzadas de configuracin de la actualizacin incluyen la configuracin del Modo de actualizacin, el Proxy HTTP, la LAN y el Mirror.

    75

    4.2.1.2.1 Modo de actualizacin La pestaa Modo de actualizacin contiene las opciones relacionadas a la actualizacin de componentes del programa. En la seccin Actualizacin de componentes del programa, hay tres opciones disponibles: Nunca actualizar los componentes del programa: Las nuevas actualizaciones de componentes del programa no se descargarn. Siempre actualizar los componentes del programa: Las nuevas actualizaciones de componentes del programa se descargarn automticamente. Preguntar antes de descargar componentes del programa: Es la opcin predeterminada. El programa le pedir que confirme o rechace las actualizaciones de componentes del programa cada vez que estn disponibles.

    Tras la actualizacin de componentes del programa, es posible que sea necesario reiniciar el equipo para que todos los mdulos estn en pleno funcionamiento. La seccin Reiniciar tras el reemplazo de componentes del programa por una versin posterior permite seleccionar una de las siguientes opciones: Nunca reiniciar el equipo Ofrecer reiniciar el equipo si es necesario Si es necesario, reiniciar el equipo sin notificar La opcin predeterminada es Ofrecer reiniciar el equipo si es necesario. La seleccin de la opcin ms apropiada depende de la estacin de trabajo donde se aplicarn todas las opciones de configuracin. Tenga en cuenta que existen diferencias entre estaciones de trabajo y servidores; por ej., reiniciar automticamente el servidor tras el reemplazo del programa por una versin posterior puede causar daos graves.

    76

    4.2.1.2.2 Servidor proxy En ESET Mail Security, la configuracin del servidor proxy est disponible en dos secciones diferentes dentro del rbol de configuracin avanzada. Primero, la configuracin del servidor proxy puede establecerse en Varios > Servidor proxy. La especificacin del servidor proxy en esta etapa define la configuracin global del servidor proxy para todo el programa ESET Mail Security. Todos los mdulos que requieran una conexin a Internet usarn los parmetros aqu ingresados. Para especificar la configuracin del servidor proxy en esta etapa, seleccione la casilla de verificacin Usar servidor proxy y luego ingrese la direccin del servidor proxy en el campo Servidor proxy, junto con el nmero de puerto correspondiente.

    Si la comunicacin con el servidor proxy requiere autenticacin, seleccione la casilla de verificacin El servidor proxy requiere autenticacin e ingrese un Nombre de usuario y una Contrasea vlidos en los campos respectivos. Haga clic en el botn Detectar el servidor proxy para detectar e insertar automticamente la configuracin del servidor proxy. Se copiarn los parmetros especificados en Internet Explorer. NOTA: Esta caracterstica no recupera los datos de autenticacin (nombre de usuario y contrasea): deben ser ingresados por usted. La configuracin del servidor proxy tambin se puede establecer en la configuracin de las opciones avanzadas. Esta configuracin se aplica al perfil de actualizacin determinado. Se puede acceder a las opciones de configuracin del servidor proxy para un perfil de actualizacin haciendo clic en la pestaa Proxy HTTP en Configurar las opciones avanzadas. Podr elegir una de las siguientes tres opciones: Usar la configuracin global del servidor proxy No usar servidor proxy Conexin a travs de un servidor proxy (conexin definida por las propiedades de conexin)

    77

    Al seleccionar la opcin Usar la configuracin global del servidor proxy, se usarn las opciones de configuracin del servidor proxy ya especificadas en la seccin Varios > Servidor proxy del rbol de configuracin avanzada (como se explic al comienzo de este documento).

    Seleccione la opcin No usar servidor proxy para especificar que no se usar ningn servidor proxy para actualizar ESET Mail Security. La opcin Conexin a travs de un servidor proxy debe seleccionarse si hay que usar un servidor proxy para actualizar ESET Mail Security y difiere del servidor proxy especificado en la configuracin global (Varios > Servidor proxy). En ese caso, la configuracin debe especificarse aqu: Direccin del Servidor proxy, Puerto de comunicacin, adems del Nombre de usuario y la Contrasea para el servidor proxy, si son necesarios. Esta opcin tambin debe estar seleccionada si la configuracin del servidor proxy no se estableci en forma global, pero ESET Mail Security se conectar al servidor proxy para actualizarse. La configuracin predeterminada para el servidor proxy es Usar la configuracin global del servidor proxy.

    78

    4.2.1.2.3 Conexin a la red de rea local Cuando se lleva a cabo una actualizacin desde un servidor local basado en el sistema operativo Windows NT, se requiere autenticar cada conexin de red en forma predeterminada. En la mayora de los casos, la cuenta del sistema local no tiene los permisos suficientes para acceder a la carpeta mirror (la carpeta que contiene las copias de los archivos de actualizacin. En este caso, ingrese el nombre de usuario y la contrasea en la seccin de configuracin de la actualizacin o especifique una cuenta existente a travs de la cual el programa pueda acceder al servidor de actualizacin (mirror). Para configurar dicha cuenta, haga clic en la pestaa LAN. La seccin Conectarse a la LAN como ofrece las opciones Cuenta del sistema (predeterminado), Usuario actual y Usuario especificado.

    Seleccione la opcin Cuenta del sistema (predeterminado) si desea utilizar la cuenta del sistema para la autenticacin. Normalmente, no se lleva a cabo ningn proceso de autenticacin si no se proporcionan los datos de autenticacin en la seccin principal correspondiente a la configuracin de la actualizacin. Para asegurar que el programa realice la autenticacin mediante la cuenta de un usuario actualmente registrado, seleccione Usuario actual. La desventaja de esta solucin es que el programa no podr conectarse al servidor de actualizacin cuando no haya ningn usuario registrado. Seleccione Usuario especificado si desea que el programa use la cuenta de un usuario especfico para realizar la autenticacin. Advertencia: Cuando est seleccionado el Usuario actual o el Usuario especificado, puede aparecer un error al cambiar la identidad del programa segn el usuario deseado. Es recomendable ingresar los datos de autenticacin de la LAN en la seccin principal correspondiente a la configuracin de la actualizacin. En esta seccin de configuracin de la actualizacin, los datos de autenticacin deben ingresarse de la siguiente forma: nombre_de_dominio\usuario (si es un grupo de trabajo, ingrese nombre_del_grupo_de_trabajo\nombre) y la contrasea. Cuando se actualiza desde la versin HTTP del servidor local, no se necesita ninguna autenticacin.

    79

    4.2.1.2.4 Creacin de copias de actualizacin: mirror ESET Mail Security permite crear copias de archivos de actualizacin que se pueden utilizar para actualizar otras estaciones de trabajo ubicadas en la red. La actualizacin de estaciones de trabajo de equipos cliente desde un mirror optimiza el equilibrio de carga de la red y ahorra el ancho de banda de la conexin a Internet. Despus de haber agregado una clave de licencia vlida en el administrador de licencias (ubicado en la seccin de configuracin avanzada de ESET Mail Security), se puede acceder a las opciones de configuracin del servidor mirror local en la seccin Configurar las opciones avanzadas:. Para acceder a esta seccin, presione F5 y haga clic en Actualizacin en el rbol de configuracin avanzada; luego haga clic en el botnConfigurar... al lado de Configurar las opciones avanzadas: y seleccione la pestaa Mirror.

    El primer paso para configurar el mirror es seleccionar la opcin Crear mirror de actualizacin. Al seleccionarla, se activan otras opciones de configuracin del mirror, tales como la forma de acceder a los archivos de actualizacin y la ruta de actualizacin a los archivos replicados. Los mtodos para activar el mirror se describen en forma detallada en la seccin Actualizacin desde el mirror 81 . Por ahora, tenga en cuenta que existen dos mtodos bsicos para acceder al mirror: la carpeta con los archivos de actualizacin puede presentarse como una carpeta compartida de red o como un servidor HTTP. La carpeta destinada a almacenar los archivos de actualizacin para el mirror se define en la seccin Carpeta para almacenar los archivos replicados:. Haga clic en Carpeta... para buscar una carpeta en el equipo local o una carpeta compartida en la red. Si la carpeta especificada requiere una autorizacin, deber proporcionar los datos de autenticacin en los campos Nombre de usuario y Contrasea. El nombre de usuario y la contrasea se deben ingresar con el formato Dominio/Usuario o Grupo de trabajo/Usuario. Recuerde que debe proporcionar las contraseas correspondientes. Al configurar el mirror, tambin puede especificar las versiones de idiomas para las que desea descargar las copias de actualizacin. La configuracin de la versin de idioma se encuentra en la seccin Archivos > Versiones disponibles:.

    80

    4.2.1.2.4.1 Actualizacin desde el mirror Existen dos mtodos bsicos para configurar el mirror: la carpeta con los archivos de actualizacin puede presentarse como una carpeta compartida de red o como un servidor HTTP. Acceso al mirror mediante un servidor HTTP interno Esta es la configuracin predeterminada, especificada en la configuracin predefinida del programa. Para acceder al mirror mediante el servidor HTTP, vaya a Configurar las opciones avanzadas (la pestaa Mirror) y seleccione la opcin Crear mirror de actualizacin. En la seccin Configuracin avanzada de la pestaa Mirror, puede especificar el Puerto del servidor donde escuchar el servidor HTTP, as como el tipo de Autenticacin que usa el servidor HTTP. En forma predeterminada, el Puerto del servidor est establecido en 2221. La opcin Autenticacin define el mtodo de autenticacin utilizado para acceder a los archivos de actualizacin. Se encuentran disponibles las siguientes opciones: NONE, BASIC y NTLM. Seleccione la opcin BASIC para utilizar la codificacin de Base64 con la autenticacin bsica del nombre de usuario y la contrasea. La opcin NTLM proporciona una codificacin obtenida mediante un mtodo seguro. Para la autenticacin, se utiliza el usuario creado en la estacin de trabajo que comparte los archivos de actualizacin. La configuracin predeterminada es NONE, que otorga acceso a los archivos de actualizacin sin necesidad de autenticar. Advertencia: Si desea permitir el acceso a los archivos de actualizacin a travs del servidor HTTP, la carpeta mirror debe estar ubicada en el mismo equipo que la instancia de ESET Mail Security que la crea.

    Cuando la configuracin del mirror est completa, vaya a las estaciones de trabajo y agregue un nuevo servidor de actualizacin con el formato http://direccin_IP_de_su_servidor:2221. Para hacerlo, siga estos pasos: Abra la Configuracin avanzada de ESET Mail Security y haga clic en la seccin Actualizacin. Haga clic en Editar a la derecha del men desplegable Servidor de actualizacin y agregue un nuevo servidor usando el siguiente formato: http://direccin_IP_de_su_servidor:2221. Seleccione el servidor recin agregado de la lista de servidores de actualizacin. Acceder al mirror mediante el uso compartido del sistema En primer lugar, se debe crear una carpeta compartida en un dispositivo local o de red. Cuando se crea la carpeta para el mirror, se deber proporcionar el acceso de escritura para el usuario que guardar los archivos de actualizacin en la carpeta y el acceso de lectura para todos los usuarios que actualizarn ESET Smart Security desde la carpeta del mirror. A continuacin, configure el acceso al mirror en la seccin Configurar las opciones avanzadas (pestaa Mirror) deshabilitando la opcin Proporcionar archivos de actualizacin mediante el servidor HTTP interno. Esta
    81

    opcin est habilitada en forma predeterminada en el paquete de instalacin del programa. Si la carpeta compartida se ubica en otro equipo de la red, es necesario especificar los datos de autenticacin para acceder al otro equipo. Para especificar los datos de autenticacin, abra la Configuracin avanzada de ESET Mail Security (F5) y haga clic en la seccin Actualizacin. Haga clic en el botn Configurar... y luego en la pestaa LAN. Esta configuracin es la misma que se usa para actualizar, como se describe en la seccin Conexin a la red de rea local 79 . Cuando la configuracin del mirror est completa, vaya a las estaciones de trabajo y establezca \\UNC\RUTA como el servidor de actualizacin. Para completar la operacin, siga estas indicaciones: Abra la Configuracin avanzada de ESET Mail Security y haga clic en Actualizacin. Haga clic en Editar al lado de Servidor de actualizacin y agregue un nuevo servidor usando el formato \ \UNC\RUTA. Seleccione el servidor recin agregado de la lista de servidores de actualizacin. NOTA: Para un funcionamiento correcto, deber especificar la ruta a la carpeta mirror como una ruta UNC. Es posible que no funcionen las actualizaciones de las unidades asignadas. 4.2.1.2.4.2 Resolucin de problemas de actualizacin desde el mirror En la mayora de los casos, los problemas que surgen durante una actualizacin desde un servidor mirror son provocados por uno o ms de los siguientes motivos: especificacin incorrecta de las opciones de la carpeta mirror, datos de autenticacin incorrectos para acceder a la carpeta mirror, configuracin incorrecta en las estaciones de trabajo locales que intentan descargar archivos de actualizacin desde el mirror, o una combinacin de las razones mencionadas. A continuacin, se muestra informacin general sobre los problemas ms frecuentes que pueden surgir durante una actualizacin desde el mirror: ESET Mail Security informa que se produjo un error al conectarse con el servidor mirror: probablemente causado por la especificacin incorrecta del servidor de actualizacin (la ruta de red a la carpeta mirror) desde donde las estaciones de trabajo locales descargan las actualizaciones. Para corroborar la carpeta, haga clic en el men Inicio de Windows, luego en Ejecutar, ingrese el nombre de la carpeta y haga clic en Aceptar. Debera aparecer el contenido de la carpeta. ESET Mail Security requiere un nombre de usuario y una contrasea: probablemente causado por datos de autenticacin incorrectos (nombre de usuario y contrasea) en la seccin de actualizacin. El nombre de usuario y la contrasea se usan para otorgar acceso al servidor de actualizacin, desde donde se actualizar el programa. Asegrese de que los datos de autenticacin sean correctos y que se hayan ingresado en el formato requerido. Por ejemplo, Dominio/Nombre de usuario o Grupo de trabajo/Nombre de usuario, con sus contraseas correspondientes. Si el servidor mirror tiene permiso de acceso para "Todos", tenga en cuenta que no significa que cualquier usuario tiene permiso de acceso. "Todos" no significa cualquier usuario no autorizado, solo significa que la carpeta es accesible para los usuarios de todos los dominios. Como resultado, aunque la carpeta tenga permiso de acceso para "Todos", an ser necesario ingresar un nombre de usuario de dominio y una contrasea en la seccin de configuracin de la actualizacin. ESET Mail Security informa que se produjo un error al conectarse con el servidor mirror: la comunicacin en el puerto definido para acceder a la versin HTTP del mirror est bloqueada.

    82

    4.2.2 Cmo crear tareas de actualizacin Las actualizaciones pueden accionarse manualmente haciendo clic en Actualizar la base de datos de firmas de virus en la ventana principal que se muestra al hacer clic en Actualizacin, en el men principal. Las actualizaciones tambin pueden ejecutarse como tareas programadas. Para configurar una tarea programada, haga clic en Herramientas > Tareas programadas. Las siguientes tareas se encuentran activas en forma predeterminada en ESET Mail Security: Actualizacin automtica de rutina Actualizacin automtica tras conexin de acceso telefnico Actualizacin automtica tras el registro del usuario Cada una de las tareas de actualizacin puede modificarse segn sus necesidades. Adems de las tareas de actualizacin predeterminadas, puede crear nuevas tareas de actualizacin con una configuracin definida por el usuario. Para obtener ms detalles sobre la creacin y la configuracin de tareas de actualizacin, lea la seccin Tareas programadas 83 .

    4.3 Tareas programadas


    Las Tareas programadas estn disponibles si se encuentra activado el modo avanzado en ESET Mail Security. Puede encontrar las Tareas programadas en el men principal de ESET Mail Security, en la seccin Herramientas. La seccin de Tareas programadas contiene una lista de todas las tareas programadas y propiedades de configuracin, como la fecha y la hora predefinidas y el perfil de anlisis utilizado.

    83

    En forma predeterminada, se muestran las siguientes Tareas programadas: Actualizacin automtica de rutina Actualizacin automtica tras conexin de acceso telefnico Actualizacin automtica tras el registro del usuario Verificacin de archivos de inicio automtica (tras el registro del usuario) Verificacin de archivos de inicio automtica (tras la actualizacin correcta de la base de datos de firmas de virus) Para editar la configuracin de una tarea programada existente (ya sea predeterminada o definida por el usuario), haga un clic derecho en la tarea y luego en Editar... o seleccione la tarea que desea modificar y haga clic en el botn Editar.... 4.3.1 Finalidad de la programacin de tareas Desde la seccin de tareas programadas se gestionan y ejecutan tareas programadas segn la configuracin y las propiedades predefinidas. La configuracin y las propiedades contienen informacin, como la fecha y la hora, adems de perfiles especificados para utilizarse durante la ejecucin de la tarea. 4.3.2 Creacin de tareas nuevas Para crear una nueva tarea programada, haga clic en el botn Agregar una tarea o haga un clic derecho y seleccione Agregar una tarea del men contextual. Hay cinco tipos de tareas programadas disponibles: Ejecutar aplicacin externa Verificacin de archivos durante el inicio del sistema Crear una instantnea de estado del equipo Exploracin bajo demanda del equipo Actualizacin

    Como la tarea programada Actualizacin es una de las usadas con mayor frecuencia, se explicar cmo agregar una nueva tarea de actualizacin.

    84

    En el men desplegable Tarea programada:, seleccione Actualizacin. Haga clic en Siguiente e ingrese el nombre de la tarea en el campo Nombre de la tarea:. Seleccione la frecuencia de la tarea. Se encuentran disponibles las siguientes opciones: Una vez, Reiteradamente, Diariamente, Semanalmente y Cuando se cumpla la condicin. De acuerdo con la frecuencia seleccionada, el programa le ofrecer distintos parmetros de actualizacin. A continuacin, defina la accin que se realizar en caso de que la tarea no se pueda ejecutar o completar en el momento programado. Se encuentran disponibles las siguientes opciones: Esperar hasta la prxima hora programada Ejecutar la tarea lo antes posible Ejecutar la tarea inmediatamente si el tiempo transcurrido desde la ltima ejecucin supera el intervalo especificado (el intervalo puede definirse usando el cuadro de desplazamiento Intervalo de la tarea) En el paso siguiente, se muestra una ventana de resumen con informacin acerca de la tarea actualmente programada; la opcin Ejecutar la tarea con parmetros especficos debera estar habilitada en forma automtica. Haga clic en el botn Terminar. Aparecer una ventana de dilogo que le ofrecer una seleccin de perfiles para usar con la tarea programada. Aqu puede especificar un perfil principal y uno alternativo, que se usar en caso de que la tarea no se complete usando el perfil primario. Confirme haciendo clic en Aceptar en la ventana Actualizar perfiles. La nueva tarea programada se agregar a la lista de tareas programadas actuales.

    4.4 Cuarentena
    La tarea principal de la cuarentena consiste en almacenar los archivos infectados en forma segura. Los archivos deben ponerse en cuarentena cuando no se pueden limpiar, cuando no es seguro o recomendable eliminarlos o en caso de que ESET Mail Security los haya detectado errneamente. Puede elegir poner cualquier archivo en cuarentena. Esta accin es recomendable cuando un archivo se comporta de manera sospechosa pero la exploracin antivirus no lo detecta. Los archivos en cuarentena se pueden enviar para su anlisis al laboratorio de amenazas de ESET.

    Los archivos almacenados en la carpeta de cuarentena pueden visualizarse en una tabla que muestra la fecha y la
    85

    hora en que se pusieron en cuarentena, la ruta a la ubicacin original de los archivos infectados, su tamao en bytes, el motivo (por ej., agregado por el usuario) y la cantidad de amenazas (por ej., si se trata de un archivo comprimido que contiene varias infiltraciones). 4.4.1 Envo de archivos a cuarentena ESET Mail Security enva automticamente a cuarentena los archivos eliminados (a menos que se haya cancelado esta opcin desde la ventana de alerta). Asimismo, si lo desea es posible enviar a cuarentena cualquier archivo sospechoso en forma manual haciendo clic en el botn Cuarentena.... En este caso, el archivo original no se quita de su ubicacin inicial. Tambin se puede usar el men contextual con este propsito. Para ello, haga un clic derecho en la ventana Cuarentena y luego seleccione el botn Agregar... 4.4.2 Restauracin desde cuarentena Los archivos puestos en cuarentena pueden restaurarse a su ubicacin original. Utilice la funcin Restaurar con este propsito. Restaurar est disponible desde el men contextual haciendo un clic derecho en el archivo determinado, en la ventana Cuarentena. Asimismo, el men contextual ofrece la opcin Restaurar a..., que permite restaurar un archivo en una ubicacin diferente a la que tena cuando fue eliminado. NOTA: Si el programa puso en cuarentena un archivo inofensivo por error, despus de restaurarlo, exclyalo del anlisis y enve el archivo al centro de atencin al cliente de ESET. 4.4.3 Envo de archivos desde cuarentena Si ha puesto en cuarentena un archivo sospechoso que el programa no detect o si un archivo fue clasificado errneamente como infectado (por ej., tras la exploracin heurstica del cdigo) y luego se puso en cuarentena, enve el archivo al laboratorio de amenazas de ESET. Para enviar un archivo desde cuarentena, haga un clic derecho en el archivo y seleccione Enviar para su anlisis en el men contextual.

    86

    4.5 Archivos de registro


    Los registros almacenan informacin sobre sucesos importantes: infiltraciones detectadas, registros del mdulo de exploracin bajo demanda, registros de los mdulos de exploracin residentes e informacin del sistema. Los registros de antispam y listas grises (que se encuentran junto a otros registros en Herramientas > Archivos de registro) contienen informacin detallada sobre los mensajes explorados y las acciones realizadas con dichos mensajes. Los registros pueden ser muy tiles al buscar correos electrnicos no enviados, al tratar de determinar por qu un mensaje especfico se marc como spam, etc.

    Antispam Aqu se guardan todos los mensajes que ESET Mail Security categoriza como spam o probablemente spam.

    87

    Descripcin de las columnas: Hora: hora de ingreso en el registro antispam Remitente: direccin del remitente Destinatario: direccin del destinatario Asunto: asunto del mensaje Puntaje: puntaje de spam asignado al mensaje (en un rango de 0 a 100) Motivo: indica qu provoc que el mensaje se clasificara como spam. Se mostrar el indicador de mayor relevancia. Si desea ver los dems indicadores, haga doble clic en la entrada. Como resultado, se abrir la ventana Motivo con los indicadores restantes ordenados de mayor a menor importancia. URL con reputacin de spam Muchas veces, las direcciones URL en los mensajes pueden ser un indicador de spam. Formato HTML (fuentes, colores, etc.) El formato de los elementos en la seccin HTLM del mensaje muestra signos caractersticos de spam (el tipo de fuente, su tamao, su color, etc.) Trucos de spam: Ofuscacin Las palabras tpicas de los mensajes de spam suelen enmascararse mediante el uso de otros caracteres. Un ejemplo tpico es la palabra "Viagra", que muchas veces se escribe "V1agra" para evadir la deteccin antispam. Spam en formato de imagen HTML Los mensajes de spam con frecuencia toman el formato de imagen como otra estrategia evasiva que aplican contra los mtodos de deteccin antispam. Dichas imgenes suelen contener vnculos interactivos a pginas Web. Formato de URL para el dominio de La direccin URL contiene el dominio de servicio de hosting. servicio de hosting Palabra clave de spam... El mensaje contiene palabras tpicas de spam. Inconsistencia en el encabezado del Se altera la informacin en el encabezado del mensaje para hacerse correo electrnico pasar por una fuente distinta a la real. Virus El mensaje contiene un archivo adjunto sospechoso. Phishing El mensaje contiene un texto tpico de los mensajes de phishing. Rplica El mensaje contiene un texto tpico de una categora de spam orientada a ofrecer rplicas. Indicador de spam genrico Mensaje que incluye palabras o caracteres tpicos de spam, como por ej., "Querido amigo", "hola ganador", "!!!", etc. Indicador de correo deseado Este indicador tiene la funcin opuesta a la de los otros indicadores de la lista. Analiza elementos caractersticos de los correos electrnicos comunes que fueron solicitados. Reduce el puntaje de spam general. Indicador de spam no especfico El mensaje contiene otros elementos de spam, como la codificacin de Base64. Frases de la exploracin personalizada Otras frases de spam tpicas. El URL figura en la lista negra El URL del mensaje aparece en una lista negra. La direccin IP %s est en RBL La direccin IP ... aparece en una lista RBL. La direccin URL %s est en DNSBL La direccin URL... aparece en una lista DNSBL. URL %s est en RBL o el servidor no La direccin URL ... aparece en una lista RBL o el servidor no cuenta con est autorizado a enviar correos los privilegios requeridos para enviar mensajes de correo electrnico. Las direcciones que formaban parte de la ruta del correo electrnico se verifican con la lista RBL. La ltima direccin se prueba en relacin a sus derechos de conectividad a los servidores de correo pblicos. Cuando es imposible detectar si los derechos de conectividad son vlidos, la direccin aparece en la lista LBL. Los mensajes marcados como spam debido a un indicador LBL muestran el siguiente texto en el campo Motivo: "el servidor no est autorizado a enviar correos".

    Accin: accin realizada con el mensaje. Acciones posibles: Retenido


    88

    No se realiz ninguna accin con el mensaje.

    Puesto en cuarentena Desinfectado y puesto en cuarentena Rechazado Eliminado

    El mensaje se envi a cuarentena. El virus se quit del mensaje y el mensaje se envi a cuarentena. Se deneg el mensaje y se envi una respuesta SMTP de rechazo El mensaje se elimin usando una colocacin silenciosa 20 .
    20

    al remitente.

    Recibido: la hora en que el servidor recibi el mensaje. NOTA: Si los correos se reciben por medio de un servidor de correo electrnico, las horas correspondientes a los campos Hora y Recibido son casi idnticas.

    Creacin de listas grises Todos los mensajes que se han evaluado usando el mtodo de creacin de listas grises se guardan en este registro.

    Descripcin de las columnas: Hora: hora de ingreso en el registro antispam Dominio HELO: nombre de dominio que el servidor de envo usa para identificarse ante el servidor de destino Direccin IP: direccin IP del remitente Remitente: direccin del remitente Destinatario: direccin del destinatario Accin: puede contener los siguientes estados: Rechazado Rechazado (an no verificado) Verificado Se deneg el mensaje entrante usando el precepto bsico de la lista gris (primer intento de entrega). El servidor de envo volvi a enviar el mensaje entrante, pero el lmite de tiempo para denegar la conexin an no transcurri (Lmite de tiempo para la denegacin de conexin inicial). El servidor de envo volvi a enviar varias veces el mensaje entrante, pero transcurri el Lmite de tiempo para la denegacin de conexin inicial y el mensaje se verific correctamente y se entreg. Ver tambin Agente de transporte 39 .

    Tiempo restante: el tiempo que queda hasta llegar al Lmite de tiempo para la denegacin de conexin inicial

    Se detectaron amenazas El registro de amenazas ofrece informacin detallada sobre las infiltraciones detectadas por los mdulos de ESET
    89

    Mail Security. La informacin incluye la hora de deteccin, el tipo de mdulo de exploracin, el nombre del objeto, el nombre de la infiltracin, la ubicacin, la accin realizada y el nombre del usuario registrado cuando se detect la infiltracin. Para copiar o eliminar una o ms lneas del registro (o para eliminar el registro completo), use el men contextual (haciendo un clic derecho en el elemento). Sucesos El registro de sucesos contiene informacin sobre sucesos y errores que se produjeron en el programa. Muchas veces, la informacin aqu encontrada puede servir de ayuda para encontrar la solucin a un problema del programa. Exploracin bajo demanda del equipo El registro del mdulo de exploracin almacena informacin sobre los resultados de las exploraciones manuales o planificadas. Cada lnea corresponde a un control individual de un equipo. Enumera los siguientes datos: fecha y hora de la exploracin, cantidad total de archivos explorados, infectados y desinfectados, y el estado actual de la exploracin. En los registros del Mdulo de exploracin bajo demanda, haga doble clic en la entrada de registro para mostrar su contenido detallado en una ventana separada. Utilice el men contextual (con un clic derecho) para copiar una o ms entradas marcadas (en todos los tipos de registros). 4.5.1 Filtrado de registros El filtrado de registros es una funcin til que ayuda a encontrar historiales en los archivos de registro, en particular cuando hay demasiados historiales y es difcil encontrar la informacin especfica que se busca. Cuando se usa el filtro, es posible escribir una cadena de Texto para buscar, especificar las columnas en la opcin Buscar en columnas, seleccionar los Tipos de historiales y establecer un Perodo para restringir la cantidad de historiales en el resultado. Al especificar ciertas opciones de filtrado, solo se mostrarn los historiales relevantes (segn esas opciones de filtrado) en la ventana Archivos de registro, para un acceso fcil y rpido. Para abrir la ventana Filtrado de registros, haga un clic en el botn Filtrar... en Herramientas > Archivos de registro, o utilice las teclas de acceso directo Ctrl + Mays + F. NOTA: Para buscar un historial en particular, tambin puede usar la funcin Buscar en el registro combinacin con el Filtrado de registros.
    92

    , o usarla en

    Al especificar ciertas opciones de filtrado, solo se mostrarn los historiales relevantes (segn esas opciones de filtrado) en la ventana Archivos de registro. De esta forma, se filtrarn o restringirn los historiales, de modo que ser ms fcil encontrar lo que busca. Cuanto ms especficas sean las opciones que use, ms se restringirn los resultados. Texto: escriba una cadena de texto (una palabra o parte de una palabra). Solo se mostrarn los historiales que
    90

    contengan la cadena de texto especificada. El resto de los historiales quedarn ocultos para una lectura ms sencilla. Buscar en columnas: seleccione qu columnas se tendrn en cuenta durante el filtrado. Se pueden seleccionar una o ms columnas para usar durante el filtrado. De forma predeterminada, se seleccionan todas las columnas. Hora Mdulo Suceso Usuario Tipos de historiales: permite elegir qu tipos de historiales se mostrarn. Se puede elegir mostrar un tipo de historial en particular, varios tipos a la vez o todos los tipos existentes (opcin predeterminada): Diagnstico Informacin Advertencia Error Advertencias crticas Perodo: use esta opcin para filtrar los historiales segn el perodo. Se puede elegir una de las siguientes opciones: Registro completo (predeterminado): no filtra por perodo porque muestra el registro completo Ayer La semana pasada El mes pasado Intervalo: al seleccionar el intervalo, es posible especificar el perodo exacto (con fecha y hora) para mostrar solo los historiales de los sucesos ocurridos en dicho perodo. Adems de la configuracin de filtrado detallada arriba, tambin hay varias Opciones: Solo coincidir palabras completas: muestra nicamente los historiales que contienen palabras completas coincidentes con la cadena de texto ingresada en el campo Texto. Coincidir maysculas y minsculas: muestra nicamente los historiales que contienen palabras coincidentes con la cadena de texto ingresada en el campo Texto, respetando el uso de maysculas y minsculas. Habilitar el filtrado inteligente: use esta opcin para permitir que ESET Mail Security realice el filtrado utilizando sus propios mtodos. Cuando haya terminado de configurar las opciones de filtrado, seleccione el botn Aceptar para aplicar el filtro. La ventana Archivos de registro solo mostrar los historiales correspondientes a las opciones de filtrado.

    91

    4.5.2 Bsqueda en el registro Adems del Filtrado de registros 90 , se puede utilizar la funcin de bsqueda dentro de los archivos de registro, aunque tambin puede usarse en forma independiente al filtrado de registros. Esta funcin es til cuando se estn buscando historiales especficos en los registros. Al igual que el Filtrado de registros, esta caracterstica de bsqueda lo ayudar a encontrar la informacin que busca, en particular cuando hay demasiados historiales. Cuando se usa la funcin Buscar en el registro, es posible escribir una cadena de Texto para buscar, especificar las columnas en la opcin Buscar en columnas, seleccionar los Tipos de historiales y establecer un Perodo para buscar solo los historiales de los sucesos ocurridos en dicho perodo. Al especificar ciertas opciones de bsqueda, solo se buscarn los historiales relevantes (segn esas opciones de bsqueda) en la ventana Archivos de registro. Para buscar en los registros, abra la ventana Buscar en el registro presionando las teclas Ctrl + F. NOTA: Puede usar la funcin Buscar en el registro en combinacin con el Filtrado de registros 90 . Primero se restringe la cantidad de historiales usando el Filtrado de registros y luego se comienza a buscar solo entre los resultados filtrados.

    Texto: escriba una cadena de texto (una palabra o parte de una palabra). Solo se buscarn los historiales que contengan la cadena de texto especificada. El resto de los historiales se omitirn. Buscar en columnas: seleccione qu columnas se tendrn en cuenta durante la bsqueda. Se pueden seleccionar una o ms columnas para usar en la bsqueda. De forma predeterminada, se seleccionan todas las columnas. Hora Mdulo Suceso Usuario Tipos de historiales: permite elegir qu tipos de historiales se buscarn. Se puede elegir buscar un tipo de historial en particular, varios tipos a la vez o todos los tipos existentes (opcin predeterminada): Diagnstico Informacin Advertencia Error Advertencias crticas

    92

    Perodo: use esta opcin para buscar nicamente los historiales pertenecientes al perodo especificado. Se puede elegir una de las siguientes opciones: Registro completo (predeterminado): no busca en el perodo especificado, ya que busca en el registro completo Ayer La semana pasada El mes pasado Intervalo: al seleccionar el intervalo, es posible especificar el perodo exacto (con fecha y hora) para buscar solo los historiales de los sucesos ocurridos en dicho perodo. Adems de la configuracin de bsqueda detallada arriba, tambin hay varias Opciones: Solo coincidir palabras completas: encuentra nicamente los historiales que contienen palabras completas coincidentes con la cadena de texto ingresada en el campo Texto. Coincidir maysculas y minsculas: encuentra nicamente los historiales que contienen palabras coincidentes con la cadena de texto ingresada en el campo Texto, respetando el uso de maysculas y minsculas. Buscar hacia arriba: busca desde la posicin actual hacia arriba. Cuando haya configurado las opciones de bsqueda, haga clic en el botn Buscar para iniciar la bsqueda. La bsqueda se detiene al encontrar el primer historial coincidente. Haga clic nuevamente en el botn Buscar para continuar con la bsqueda. Los archivos de registro se buscan desde arriba hacia abajo, comenzando desde la posicin actual (el historial resaltado).

    93

    4.5.3 Mantenimiento de registros Se puede acceder a la configuracin de la emisin de registros de ESET Mail Security desde la ventana principal del programa. Haga clic en Configuracin > Ingresar al rbol completo de configuracin avanzada... > Herramientas > Archivos de registro. Especifique las siguientes opciones para los archivos de registro: Eliminar registros automticamente: Se eliminan automticamente las entradas de registro anteriores a la cantidad de das especificada Optimizar archivos de registro automticamente: Permite la desfragmentacin automtica de archivos de registro si se excedi el porcentaje especificado de historiales sin usar Nivel de detalle mnimo para los registros: Especifica el nivel de detalle de los registros. Las opciones disponibles son: - Historiales de diagnstico: registra toda la informacin necesaria para ajustar el programa y todos los historiales mencionados arriba - Historiales informativos: registra todos los mensajes de informacin, incluyendo los mensajes de actualizaciones correctas, y todos los historiales mencionados arriba - Advertencias: registra errores crticos y mensajes de advertencia - Errores: solo se mostrarn los mensajes de error como "Error al descargar el archivo" y los errores crticos - Advertencias crticas: registra solo los errores crticos, (como por ej., un error al iniciar la proteccin antivirus)

    94

    4.6 ESET SysInspector


    4.6.1 Introduccin a ESET SysInspector ESET SysInspector es una aplicacin que examina el equipo a fondo y muestra los datos recopilados de forma exhaustiva. La informacin sobre los controladores y aplicaciones instalados, las conexiones de red o las entradas de registro importantes, por ejemplo, puede ayudarle en la investigacin de un comportamiento sospechoso del sistema, ya sea debido a incompatibilidades del software o hardware o a una infeccin por malware. Puede acceder a SysInspector de dos maneras: Desde la versin integrada en ESET Mail Security o descargando la versin autosostenible (SysInspector.exe) en forma gratuita desde el sitio Web de ESET. Para abrir SysInspector, active el modo avanzado presionando las teclas CTRL + M y haciendo clic en Herramientas > SysInspector. La funcin de ambas versiones es idntica y las dos cuentan con los mismos controles del programa. La nica diferencia es cmo se administran los resultados. Tanto la versin descargada como la integrada permiten exportar instantneas del sistema a un archivo .xml y guardarlas en el disco. Sin embargo, la versin integrada tambin permite almacenar las instantneas del equipo directamente en Herramientas > SysInspector (para obtener ms informacin, consulte la seccin SysInspector como parte de ESET Mail Security 104 ). Aguarde un momento hasta que ESET SysInspector explore el equipo. Puede demorar desde 10 segundos hasta unos cuantos minutos segn la configuracin del hardware, el sistema operativo y la cantidad de aplicaciones instaladas en el equipo. 4.6.1.1 Inicio de ESET SysInspector Para iniciar ESET SysInspector simplemente ejecute el archivo SysInspector.exe que descarg del sitio web de ESET. Si ya tiene instalado alguno de los productos de seguridad de ESET, puede ejecutar ESET SysInspector directamente desde el men Inicio (Programas > ESET > ... ). Espere mientras la aplicacin examina el sistema. El proceso de inspeccin puede tardar varios minutos, en funcin del hardware de su equipo y de los datos que se van a recopilar. 4.6.2 Interfaz del usuario y uso de la aplicacin Para un uso sencillo, la ventana principal se divide en cuatro secciones fundamentales: la seccin de controles del programa (1), situada en la parte superior de la ventana principal; la ventana de navegacin (3), situada a la izquierda; la ventana de descripcin (2), situada en la parte central derecha; y la ventana de detalles (4), situada en la parte inferior derecha de la ventana principal. La seccin Estado de registros (5) incluye los parmetros bsicos de un registro (filtro utilizado, tipo de filtro, si el registro es el resultado de una comparacin, etc.).

    95

    4.6.2.1 Controles del programa Esta seccin contiene la descripcin de todos los controles de programa disponibles en ESET SysInspector. Archivo Al hacer clic aqu, puede guardar el estado actual del sistema para examinarlo ms tarde o abrir un registro guardado anteriormente. Para la publicacin, es recomendable que genere un registro Adecuado para su envo. De esta forma, el registro omite la informacin confidencial (nombre del usuario actual, nombre del equipo, nombre del dominio, privilegios del usuario actual, variables de entorno, etc.). NOTA: Puede abrir previamente los informes almacenados de ESET SysInspector simplemente arrastrndolos y soltndolos en la ventana principal. rbol Le permite expandir o cerrar todos los nodos, y exportar las secciones seleccionadas al script de servicio. Lista Contiene funciones para una navegacin ms sencilla por el programa y otras funciones como, por ejemplo, la bsqueda de informacin en lnea. Ayuda Contiene informacin sobre la aplicacin y sus funciones. Detalle Muestra informacin en otras secciones de la ventana principal, lo que facilita el uso del programa. En el modo "Bsico" tiene acceso a informacin utilizada para buscar soluciones a problemas comunes de su sistema. En el modo "Medio", el programa muestra informacin menos utilizada, mientras que en el modo "Completo", ESET SysInspector muestra toda la informacin necesaria para solucionar problemas muy especficos. Filtrado de elementos Es la mejor opcin para buscar entradas de registro o archivos sospechosos en el sistema. Mediante el ajuste del control deslizante, puede filtrar elementos por su nivel de riesgo. Si el control deslizante se encuentra en el extremo izquierdo (nivel de riesgo 1), se muestran todos los elementos. Al mover el control deslizante a la derecha, el programa filtra todos los elementos menos peligrosos que el nivel de riesgo actual y muestra slo los elementos con un nivel de sospecha superior al mostrado. Si el control deslizante se encuentra en el extremo derecho, el programa muestra nicamente los elementos dainos conocidos. Todos los elementos pertenecientes al intervalo de riesgo comprendido entre 6 y 9 pueden suponer un riesgo para la seguridad. Si no est utilizando algunas de las soluciones de seguridad de ESET, le recomendamos que explore su sistema con ESET Online Scanner cuando el programa encuentre un elemento de este tipo. ESET Online Scanner es un servicio gratuito. NOTA: el nivel de riesgo de un elemento se puede determinar rpidamente comparando el color del elemento con el color del control deslizante del nivel de riesgo. Buscar Esta opcin se puede utilizar para buscar rpidamente un elemento especfico por su nombre o parte del nombre. Los resultados de la solicitud de bsqueda aparecern en la ventana de descripcin. Volver Al hacer clic en la flecha hacia atrs o hacia delante, puede volver a la informacin mostrada previamente en la ventana de descripcin. Puede utilizar la tecla de retroceso y la tecla de espacio, en lugar de hacer clic en las flechas atrs y adelante. Seccin de estado Muestra el nodo actual en la ventana de navegacin. NOTA: Puede utilizar la tecla de retroceso y la tecla de espacio, en lugar de hacer clic en las flechas atrs y adelante. Importante: Los elementos destacados en rojo son elementos desconocidos, por eso el programa los marca como potencialmente peligrosos. Que un elemento aparezca marcado en rojo no significa que sea necesario eliminar el archivo. Antes de eliminarlo, asegrese de que el archivo es realmente peligroso o innecesario. 4.6.2.2 Navegacin por ESET SysInspector ESET SysInspector divide los tipos de informacin en distintas secciones bsicas denominadas nodos. Si est disponible, puede encontrar informacin adicional expandiendo los subnodos de cada nodo. Para abrir o contraer un nodo, solo tiene que hacer doble clic en el nombre del nodo o en o , que se encuentran junto al nombre del nodo. Cuando examine la estructura con forma de rbol de nodos y subnodos en la ventana de navegacin, puede encontrar diversos detalles de cada nodo en la ventana de descripcin. Si examina los elementos en la ventana de descripcin, es posible que se muestre informacin adicional de cada uno de los elementos en la ventana de detalles. A continuacin, se encuentran las descripciones de los nodos principales de la ventana de navegacin e informacin relacionada en las ventanas de descripcin y detalles. Procesos en ejecucin Este nodo contiene informacin sobre aplicaciones y procesos que se ejecutan al generar el registro. En la ventana
    96

    de descripcin, puede encontrar informacin adicional de cada proceso como, por ejemplo, bibliotecas dinmicas utilizadas por el proceso y su ubicacin en el sistema, el nombre del proveedor de la aplicacin, el nivel de riesgo del archivo, etc. La ventana de detalles contiene informacin adicional de los elementos seleccionados en la ventana de descripcin como, por ejemplo, el tamao del archivo o su hash. NOTA: Un sistema operativo incluye varios componentes importantes del ncleo que se ejecutan de forma ininterrumpida y que proporcionan funciones bsicas y esenciales para otras aplicaciones de usuario. En determinados casos, dichos procesos aparecen en la herramienta ESET SysInspector con una ruta de archivo que comienza con \??\. Estos smbolos optimizan el inicio previo de esos procesos; son seguros para el sistema y, como tales, son correctos. Conexiones de red La ventana de descripcin contiene una lista de procesos y aplicaciones que se comunican a travs de la red utilizando el protocolo seleccionado en la ventana de navegacin (TCP o UDP), as como la direccin remota a la que se conecta la aplicacin. Tambin puede comprobar las direcciones IP de los servidores DNS. La ventana de detalles contiene informacin adicional de los elementos seleccionados en la ventana de descripcin como, por ejemplo, el tamao del archivo o su hash. Entradas de registro importantes Contiene una lista de entradas de registro seleccionadas que suelen estar asociadas a varios problemas del sistema, como las que especifican programas de arranque, objetos auxiliares del navegador (BHO), etc. En la ventana de descripcin, puede encontrar los archivos que estn relacionados con entradas de registro especficas. Puede ver informacin adicional en la ventana de detalles. Servicios La ventana de descripcin contiene una lista de archivos registrados como Windows Services (Servicios de Windows). En la ventana de detalles, puede consultar la forma de inicio establecida para el servicio e informacin especfica del archivo. Controladores Una lista de los controladores instalados en el sistema. Archivos crticos En la ventana de descripcin se muestra el contenido de los archivos crticos relacionados con el sistema operativo Microsoft Windows. Informacin del sistema Contiene informacin detallada sobre el hardware y el software, as como informacin sobre las variables de entorno y los derechos de usuario establecidos. Detalles del archivo Una lista de los archivos importantes del sistema y los archivos de la carpeta Archivos de programa. Se puede encontrar informacin adicional especfica de los archivos en las ventanas de descripcin y detalles. Acerca de Informacin sobre ESET SysInspector. 4.6.2.3 Comparacin La caracterstica Comparar permite al usuario comparar dos registros existentes. El resultado es un conjunto de elementos no comunes a ambos registros. Esta opcin es til para realizar un seguimiento de los cambios realizados en el sistema; permite, por ejemplo, detectar la actividad de cdigos maliciosos. Una vez iniciada, la aplicacin crea un nuevo registro, que aparecer en una ventana nueva. Vaya a Archivo > Guardar registro para guardar un registro en un archivo. Los archivos de registro se pueden abrir y ver posteriormente. Para abrir un registro existente, utilice el men Archivo > Abrir registro. En la ventana principal del programa, ESET SysInspector muestra siempre un registro a la vez. Si compara dos registros, el principio fundamental reside en el hecho de que se compara un registro actualmente activo con un registro guardado en un archivo. Para comparar registros, utilice la opcin Archivo > Comparar registros y elija Seleccionar archivo. El registro seleccionado se comparar con el registro activo en la ventana principal del programa. El resultante, denominado "registro comparativo", mostrar slo las diferencias entre esos dos registros. NOTA: En caso de que compare dos archivos de registro, seleccione Archivo > Guardar registro y gurdelo como un archivo ZIP. Se guardarn ambos archivos. Si abre posteriormente dicho archivo, se compararn automticamente los registros que contiene. Junto a los elementos mostrados, SysInspector muestra smbolos que identifican las diferencias entre los registros comparados. Los elementos marcados con un slo se encuentran en el registro activo y no estn presentes en el registro comparativo abierto. Por otra parte, los elementos marcados con un solamente estn presentes en el registro abierto, no en el registro activo. Descripcin de todos los smbolos que pueden aparecer junto a los elementos:
    97

    nuevo valor que no se encuentra en el registro anterior la seccin de estructura con forma de rbol contiene nuevos valores valor eliminado que slo se encuentra en el registro anterior la seccin de estructura con forma de rbol contiene valores eliminados se ha cambiado un valor o archivo la seccin de estructura con forma de rbol contiene valores o archivos modificados ha disminuido el nivel de riesgo o era superior en el registro anterior ha aumentado el nivel de riesgo o era inferior en el registro anterior La explicacin que aparece en la esquina inferior izquierda describe todos los smbolos y muestra los nombres de los registros que se estn comparando.

    Se puede guardar cualquier registro comparativo en un archivo y abrirlo posteriormente. Ejemplo Genere un registro registrando informacin original sobre el sistema y gurdelo en un archivo llamado previo.xml. Luego de que se hayan realizado cambios en el sistema, abra SysInspector y permtale generar un nuevo registro. Gurdelo en un archivo con el nombre actual.xml. Para realizar un seguimiento de los cambios entre estos dos registros, vaya a Archivo > Comparar registros. El programa crear un registro comparativo con las diferencias entre ambos registros. Se puede lograr el mismo resultado si utiliza la siguiente opcin de la lnea de comandos: SysIsnpector.exe actual.xml previo.xml 4.6.3 Parmetros de la lnea de comandos ESET SysInspector admite la generacin de informes desde la lnea de comandos mediante los siguientes parmetros: /gen genera un registro directamente desde la lnea de comandos, sin ejecutar la interfaz grfica del usuario /privacy genera un registro en el que se excluye la informacin confidencial /zip almacena el registro resultante directamente en el disco, en un archivo comprimido /silent oculta la barra de progreso del proceso de generacin del registro /help, /? muestra informacin acerca de los parmetros de la lnea de comandos Ejemplos Para cargar un registro determinado directamente en el navegador, utilice: SysInspector.exe "c:\clientlog.xml" Para generar un registro en una ubicacin actual, utilice: SysInspector.exe /gen Para generar un registro en una carpeta especfica, utilice: SysInspector.exe /gen="c:\folder\" Para generar un registro en una carpeta o ubicacin especfica, utilice: SysInspector.exe /gen="c:\folder\mynewlog.xml" Para generar un registro en el que se excluya la informacin confidencial directamente como archivo comprimido, utilice: SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip Para comparar dos registros, utilice: SysInspector.exe "actual.xml" "original.xml" NOTA: si el nombre del archivo o la carpeta contiene un espacio, debe escribirse entre comillas.

    98

    4.6.4 Script de servicio El script de servicio es una herramienta que ofrece asistencia a los clientes que utilizan ESET SysInspector. Sirve para eliminar objetos no deseados del sistema. El script de servicio le permite al usuario exportar el registro completo de SysInspector o nicamente las partes seleccionadas. Tras la exportacin, puede marcar los objetos que desee eliminar. A continuacin, puede ejecutar el registro modificado para eliminar los objetos marcados. El script de servicio es til para usuarios avanzados con experiencia previa en el diagnstico de problemas del sistema. Las modificaciones realizadas por usuarios sin experiencia pueden impedir el funcionamiento del sistema operativo. Ejemplo Si tiene la sospecha de que el equipo est infectado por un virus que el antivirus no detecta, siga las instrucciones que se detallan a continuacin: Ejecute ESET SysInspector para generar una nueva instantnea del sistema. Seleccione el primer elemento de la seccin que se encuentra a la izquierda (en la estructura con forma de rbol), pulse Ctrl y seleccione el ltimo elemento para marcarlos todos. Suelte la tecla Ctrl. Haga un clic derecho en los objetos seleccionados y elija la opcin Exportar las secciones seleccionadas a un script de servicio desde el men contextual. Los objetos seleccionados se exportarn a un nuevo registro. Este es el paso ms importante de todo el procedimiento: abra el nuevo registro y cambie el atributo - a + para todos los objetos que desee eliminar. Asegrese de no marcar ninguno de los objetos necesarios para el correcto funcionamiento del sistema. Abra ESET SysInspector, haga clic en Archivo > Ejecutar el script de servicio e ingrese la ruta al script. Haga clic en Aceptar para ejecutar el script 4.6.4.1 Generacin de scripts de servicio Para generar un script de servicio, haga clic con el botn derecho en cualquier elemento del rbol de mens (en el panel izquierdo) de la ventana principal de SysInspector. Desde el men contextual, seleccione la opcin Exportar todas las secciones al script de servicio o la opcin Exportar las secciones seleccionadas al script de servicio. NOTA: Cuando se comparan dos registros, el script de servicio no se puede exportar. 4.6.4.2 Estructura del script de servicio En la primera lnea del encabezado del script encontrar informacin sobre la versin del motor (ev), la versin de la interfaz grfica del usuario (gv) y la versin del registro (lv). Puede utilizar estos datos para realizar un seguimiento de los posibles cambios del archivo .xml que genere el script y evitar las incoherencias durante la ejecucin. Esta parte del script no se debe modificar. El resto del archivo se divide en secciones, donde los elementos se pueden modificar (indique los que procesar el script). Para marcar los elementos que desea procesar, sustituya el carcter - situado delante de un elemento por el carcter +. En el script, las secciones se separan mediante una lnea vaca. Cada seccin tiene un nmero y un ttulo. 01) Procesos en ejecucin En esta seccin se incluye una lista de todos los procesos que se estn ejecutando en el sistema. Cada proceso se identifica mediante su ruta UNC y, posteriormente, su cdigo hash CRC16 representado mediante asteriscos (*). Ejemplo:
    01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...]

    En este ejemplo se ha seleccionado (marcado con el carcter "+") el proceso module32.exe, que finalizar al ejecutar el script. 02) Mdulos cargados En esta seccin se listan los mdulos del sistema que se utilizan actualmente. Ejemplo:
    02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...]

    En este ejemplo, se marc el mdulo khbekhb.dll con el signo "+". Cuando se ejecute, el script reconocer los procesos mediante el mdulo especfico y los finalizar. 03) Conexiones TCP En esta seccin se incluye informacin sobre las conexiones TCP existentes.
    99

    Ejemplo:
    03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...]

    Cuando se ejecute, el script localizar al propietario del socket en las conexiones TCP marcadas y detendr el socket, liberando as recursos del sistema. 04) Puntos finales UDP En esta seccin se incluye informacin sobre los puntos finales UDP. Ejemplo:
    04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...]

    Cuando se ejecute, el script aislar al propietario del socket en los puntos finales UDP marcados y detendr el socket. 05) Entradas del servidor DNS En esta seccin se proporciona informacin sobre la configuracin actual del servidor DNS. Ejemplo:
    05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...]

    Las entradas marcadas del servidor DNS se eliminarn al ejecutar el script. 06) Entradas de registro importantes En esta seccin se proporciona informacin sobre las entradas de registro importantes. Ejemplo:
    06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...]

    Cuando se ejecute el script, las entradas marcadas se eliminarn, se reducirn a valores de 0 bytes o se restablecern en sus valores predeterminados. La accin realizada en cada entrada depende de su categora y del valor de la clave en el registro especfico. 07) Servicios En esta seccin se listan los servicios registrados en el sistema. Ejemplo:
    07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...]

    Cuando se ejecute el script, los servicios marcados y los servicios dependientes se detendrn y desinstalarn. 08) Controladores En esta seccin se listan los controladores instalados. Ejemplo:
    08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...]

    Cuando se ejecuta el script, se anula el registro del sistema de los controladores seleccionados, que despus se eliminan. 09) Archivos crticos En esta seccin se proporciona informacin sobre los archivos crticos para el correcto funcionamiento del sistema operativo.

    100

    Ejemplo:
    09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...]

    Los elementos seleccionados se eliminarn o restablecern en sus valores originales. 4.6.4.3 Ejecucin de scripts de servicio Seleccione todos los elementos que desee y, a continuacin, guarde y cierre el script. Ejecute el script modificado directamente desde la ventana principal de SysInspector, seleccionando la opcin Ejecutar el script de servicio desde el men Archivo. Cuando abra un script, el programa mostrar el siguiente mensaje: Est seguro de que desea ejecutar el script de servicio "%Scriptname%"? Una vez que haya confirmado la seleccin, es posible que se muestre otra advertencia para informarle de que el script de servicio que intenta ejecutar no est firmado. Haga clic en Ejecutar para iniciar el script. Se mostrar una ventana de dilogo para confirmar la correcta ejecucin del script. Si el script no se puede procesar por completo, se mostrar una ventana de dilogo con el siguiente mensaje: El script de servicio se ejecut parcialmente. Desea ver el informe de errores? Seleccione S para ver un informe de errores completo con todas las operaciones que no se ejecutaron. Si no se reconoce el script, aparece una ventana de dilogo con el siguiente mensaje: El script de servicio seleccionado no est firmado La ejecucin de scripts no firmados y desconocidos pueden perjudicar gravemente los datos del equipo. Est seguro de que desea ejecutar el script y realizar las acciones? Esto podra deberse a que el script presenta inconsistencias (encabezado daado, ttulo de seccin daado, lnea vaca faltante entre secciones, etc.). Vuelva a abrir el archivo de script y corrija los errores o cree un nuevo script de servicio. 4.6.5 Accesos directos Entre los accesos directos que se pueden utilizar en ESET SysInspector se incluyen: Archivo Ctrl+O abre el registro existente Ctrl+S guarda los registros creados Generar Ctrl+G Ctrl+H

    comprobacin estndar del estado del sistema realiza una comprobacin del sistema que tambin puede registrar informacin confidencial

    Filtrado de elementos 1, O seguro, se muestran los elementos que tienen un nivel de riesgo de 1 a 9 2 seguro, se muestran los elementos que tienen un nivel de riesgo de 2 a 9 3 seguro, se muestran los elementos que tienen un nivel de riesgo de 3 a 9 4, U desconocido, se muestran los elementos que tienen un nivel de riesgo de 4 a 9 5 desconocido, se muestran los elementos que tienen un nivel de riesgo de 5 a 9 6 desconocido, se muestran los elementos que tienen un nivel de riesgo de 6 a 9 7, B peligroso, se muestran los elementos que tienen un nivel de riesgo de 7 a 9 8 peligroso, se muestran los elementos que tienen un nivel de riesgo de 8 a 9 9 peligroso, se muestran los elementos que tienen un nivel de riesgo de 9 disminuye el nivel de riesgo + aumenta el nivel de riesgo Ctrl+9 modo de filtrado, el mismo nivel o superior Ctrl+0 modo de filtrado, slo el mismo nivel

    101

    Ver Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 Retroceso Espacio Ctrl+W Ctrl+Q

    ver por proveedor, todos los proveedores ver por proveedor, slo Microsoft ver por proveedor, el resto de proveedores muestra los detalles en forma completa muestra los detalles en un nivel medio visualizacin bsica vuelve un paso atrs contina con el paso siguiente expande el rbol contrae el rbol

    Otros controles Ctrl+T va a la ubicacin original del elemento tras seleccionarlo en los resultados de bsqueda Ctrl+P muestra la informacin bsica de un elemento Ctrl+A muestra la informacin completa de un elemento Ctrl+C copia el rbol del elemento actual Ctrl+X copia elementos Ctrl+B busca informacin en Internet acerca de los archivos seleccionados Ctrl+L abre la carpeta en la que se encuentra el archivo seleccionado Ctrl+R abre la entrada correspondiente en el editor de registros Ctrl+Z copia una ruta de acceso a un archivo (si el elemento est asociado a un archivo) Ctrl+F activa el campo de bsqueda Ctrl+D cierra los resultados de bsqueda Ctrl+E ejecutar el script de servicio Comparacin Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P Varios F1 Alt+F4 Alt+Mays+F4 Ctrl+I

    abre el registro original/comparativo cancela la comparacin muestra todos los elementos muestra slo los elementos agregados, el registro incluir los elementos presentes en el registro actual muestra slo los elementos eliminados, el registro incluir los elementos presentes en el registro anterior muestra slo los elementos sustituidos (archivos incluidos) muestra slo las diferencias entre los registros muestra la comparacin muestra el registro actual abre el registro anterior

    ver la Ayuda cerrar el programa cerrar el programa sin preguntar registrar estadsticas

    4.6.6 Requisitos del sistema Para el funcionamiento ptimo de ESET SysInspector, el sistema debera cumplir con los siguientes requisitos de hardware y software: Windows 2000, XP, 2003 400 MHz 32 bits (x86)/64 bits (x64) 128MB RAM de memoria del sistema 10 MB de espacio disponible Super VGA (800 x 600) Windows 7, Vista, 2008 1 GHz 32 bits (x86) / 64 bits (x64) 512MB RAM de memoria del sistema 10 MB de espacio disponible Super VGA (800 x 600)

    102

    4.6.7 Preguntas frecuentes Es necesario contar con privilegios de administrador para ejecutar ESET SysInspector? Aunque ESET SysInspector no requiere privilegios de administrador para su ejecucin, s es necesario utilizar una cuenta de administrador para acceder a parte de la informacin que recopila. Si lo ejecuta como usuario normal o restringido, se recopilar menor cantidad de informacin acerca de su entorno operativo. ESET SysInspector crea archivos de registro? ESET SysInspector puede crear un archivo de registro de la configuracin de su equipo. Para guardarlo, seleccione Archivo > Guardar registro desde el men principal. Los registros se guardan en formato XML. En forma predeterminada, los archivos se guardan en el directorio %USERPROFILE%\Mis documentos\, con una convencin de nomenclatura del tipo "SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML". Si lo desea, puede modificar tanto la ubicacin como el nombre del archivo de registro antes de guardarlo. Cmo puedo ver el contenido del archivo de registro de ESET SysInspector? Para visualizar un archivo de registro creado por ESET SysInspector, ejecute el programa y seleccione Archivo > Abrir el registro en el men principal. Tambin puede arrastrar y soltar los archivos de registro en la aplicacin ESET SysInspector. Si necesita ver los archivos de registro de ESET SysInspector con frecuencia, es recomendable crear un acceso directo al archivo SYSINSPECTOR.EXE en su escritorio. Para ver los archivos de registro, arrstrelos y sultelos en ese acceso directo. Por razones de seguridad, es posible que Windows Vista/7 no permita la accin de arrastrar y soltar entre ventanas que cuentan con permisos de seguridad diferentes. Existe alguna especificacin disponible para el formato del archivo de registro? Y algn conjunto de herramientas para el desarrollo de aplicaciones (SDK)? Actualmente, no se encuentra disponible ninguna especificacin para el formato del archivo de registro, ni un conjunto de herramientas de programacin, ya que la aplicacin se encuentra an en fase de desarrollo. Una vez que se haya lanzado, podremos proporcionar estos elementos en funcin de la demanda y los comentarios por parte de los clientes. Cmo evala ESET SysInspector el riesgo que plantea un objeto en particular? Generalmente, ESET SysInspector asigna un nivel de riesgo a los objetos (archivos, procesos, claves de registro, etc). Para ello, utiliza una serie de reglas heursticas que examinan las caractersticas de cada uno de ellos y despus estima el potencial de actividad maliciosa. Segn estas reglas heursticas, a los objetos se les asignar un nivel de riesgo desde el valor "1: seguro" (en color verde) hasta "9: peligroso" (en color rojo). En el panel de navegacin que se encuentra a la izquierda, las secciones estarn coloreadas segn el nivel mximo de peligrosidad que presente un objeto en su interior. El nivel de riesgo "6: desconocido (en color rojo)", significa que un objeto es peligroso? Las evaluaciones de ESET SysInspector no garantizan que un objeto sea malicioso. Esta determinacin deber confirmarla un experto en seguridad informtica. ESET SysInspector est diseado para proporcionar una gua rpida a estos expertos, con la finalidad de que conozcan los objetos que deberan examinar en un sistema en busca de algn comportamiento inusual. Por qu ESET SysInspector se conecta a Internet cuando se ejecuta? Como muchas otras aplicaciones, ESET SysInspector contiene una firma digital que acta a modo de "certificado". Esta firma sirve para garantizar que ESET ha desarrollado la aplicacin y que no se ha alterado. Para comprobar la autenticidad del certificado, el sistema operativo debe contactarse con la autoridad certificadora, que verificar la identidad del desarrollador de la aplicacin. Este es un comportamiento normal para todos los programas firmados digitalmente que se ejecutan en Microsoft Windows. En qu consiste la tecnologa Anti Stealth? La tecnologa Anti Stealth proporciona un mtodo efectivo de deteccin de rootkits. Si cdigos maliciosos que se comportan como un rootkit atacan el sistema, el usuario se expone a riesgos por daos, prdidas o robo de informacin. Si no se dispone de una herramienta antirootkit especial, es prcticamente imposible detectar los rootkits. Por qu a veces hay archivos con la marca "Firmado por MS" que, al mismo tiempo, tienen una entrada de "Nombre de la empresa" diferente? Al intentar identificar la firma digital de un archivo ejecutable, SysInspector comprueba en primer lugar si el archivo contiene una firma digital integrada. En ese caso, esa identificacin del archivo ser la que se utilice a la hora de validarlo. Por otro lado, en caso de que el archivo no contenga ninguna firma digital, ESI comienza a buscar el archivo CAT correspondiente (Catlogo de seguridad: %systemroot%\system32\catroot) que contiene informacin sobre el archivo ejecutable procesado. Si el archivo CAT no se encuentra, la firma digital de dicho archivo CAT ser la que se aplique en el proceso de validacin del archivo ejecutable. Esa es la razn por la cual a veces hay archivos marcados como "Firmado por MS", pero que tienen una entrada "Nombre de la empresa" diferente. Ejemplo: Windows 2000 incluye la aplicacin HyperTerminal, que se encuentra en C:\Archivos de programa\Windows NT. El archivo ejecutable de la aplicacin principal no est firmado digitalmente; sin embargo, SysInspector lo marca
    103

    como archivo firmado por Microsoft. La razn es la referencia que aparece en C:\WINNT\system32 \CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat que lleva a C:\Archivos de programa\Windows NT\hypertrm. exe (el archivo ejecutable principal de la aplicacin HyperTerminal), y sp4.cat est firmado digitalmente por Microsoft. 4.6.8 SysInspector como parte de ESET Mail Security Para abrir la seccin SysInspector en ESET Mail Security, haga clic en Herramientas > SysInspector. El sistema de administracin de la ventana de SysInspector es parecido al de los registros de exploracin del equipo o las tareas programadas. Se puede obtener acceso a todas las operaciones con instantneas del sistema (como crear, ver, comparar, eliminar y exportar) con tan slo un par de clics. La ventana SysInspector contiene informacin bsica acerca de las instantneas creadas como, por ejemplo, la hora de creacin, un breve comentario, el nombre del usuario que ha creado la instantnea y el estado de la misma. Para Comparar, Crear... o Eliminar instantneas, utilice los botones correspondientes ubicados debajo de la lista de instantneas de la ventana SysInspector. Estas opciones tambin estn disponibles desde el men contextual. Para ver la instantnea del sistema seleccionada, utilice la opcin del men contextual Ver. Para exportar la instantnea seleccionada a un archivo, haga un clic derecho en ella y seleccione Exportar.... A continuacin, se muestra una descripcin detallada de las opciones disponibles: Comparar: permite comparar dos registros existentes. Esta opcin es ideal para realizar un seguimiento de los cambios entre el registro actual y el anterior. Para poder esta opcin se lleve a cabo, debe seleccionar dos instantneas con el fin de compararlas. Agregar: permite crear un nuevo registro. Antes debe introducir un breve comentario acerca del registro. Para obtener informacin sobre el porcentaje de progreso del proceso de creacin de la instantnea (de la instantnea que se ha generado en ese momento), consulte la columna Estado. Todas las instantneas completadas aparecen marcadas con el estado Creada. Quitar: elimina entradas de la lista. Mostrar: muestra la instantnea seleccionada. Tambin puede hacer doble clic en la entrada seleccionada. Exportar... : guarda la entrada seleccionada en un archivo XML (y tambin en una versin comprimida).

    4.7 ESET SysRescue


    ESET SysRescue es una utilidad que le permite crear un disco de arranque que contenga ESET Mail Security. La ventaja principal de ESET SysRescue es que ESET Mail Security se ejecuta en forma independiente del sistema operativo del host, a la vez que cuenta con acceso directo al disco y al sistema de archivos completo. De esta forma, es posible quitar infiltraciones que normalmente no se podan eliminar, por ej., cuando el sistema operativo est activo, etc. 4.7.1 Requisitos mnimos ESET SysRescue funciona en la versin 2.x del Entorno de preinstalacin de Microsoft Windows (Windows PE), que se basa en Windows Vista. Windows PE forma parte del paquete gratuito del Kit de instalacin automatizada de Windows (AIK de Windows) y por lo tanto es necesario que el AIK est instalado antes de crear ESET SysRescue ( http://go.eset.eu/AIK). Para que el programa sea compatible con la versin de 32 bits de Windows PE, es necesario usar un paquete de instalacin de ESET Mail Security de 32 bits al crear ESET SysRescue en sistemas de 64 bits. ESET SysRescue es compatible con la versin 1.1 del AIK de Windows y versiones posteriores. ESET SysRescue est disponible en ESET Mail Security 4.0 y posteriores. Sistemas operativos compatibles Windows 7 Windows Vista Windows Vista Service Pack 1 Windows Vista Service Pack 2 Windows Server 2008 Windows Server 2003 Service Pack 1 con KB926044 Windows Server 2003 Service Pack 2 Windows XP Service Pack 2 con KB926044 Windows XP Service Pack 3

    104

    4.7.2 Cmo crear un CD de recuperacin Si se cumplen los requisitos mnimos para la creacin de un CD de ESET SysRescue, es una tarea bastante fcil de realizar. Para iniciar el asistente de ESET SysRescue, haga clic en Inicio > Programas > ESET > ESET NOD32 Antivirus > ESET SysRescue. Primero, el asistente verifica la presencia del AIK de Windows y que haya un dispositivo adecuado para la creacin de un medio de arranque. En el paso siguiente, seleccione el medio de destino donde se ubicar ESET SysRescue. Adems de un CD, DVD y USB, puede elegir guardar ESET SysRescue en un archivo ISO. Ms tarde, puede grabar la imagen ISO en un CD o DVD, o usarla de alguna otra forma (por ej., en un entorno virtual como VMWare o Virtualbox). Luego de haber especificado todos los parmetros, aparecer una vista previa de la compilacin en el ltimo paso del asistente de ESET SysRescue. Verifique los parmetros e inicie la compilacin. Entre las opciones disponibles estn: Carpetas 105 ESET Antivirus 105 Avanzado 105 Dispositivo USB de arranque 106 Grabacin 106 4.7.2.1 Carpetas Carpeta temporal: es un directorio activo que se usa para los archivos requeridos durante la compilacin de ESET SysRescue. Carpeta ISO: es la carpeta donde se guarda el archivo ISO resultante tras completar la compilacin. La lista de esta pestaa muestra todas las unidades de red asignadas junto con el espacio libre disponible. Si algunas de estas carpetas estn ubicadas en una unidad con espacio en disco insuficiente, es recomendable seleccionar otra unidad con ms espacio disponible. De lo contrario, es posible que la compilacin finalice antes de tiempo debido a espacio libre en disco insuficiente. Aplicaciones externas: permite especificar programas adicionales que se ejecutarn o instalarn tras el arranque desde un medio de ESET SysRescue. Incluir aplicaciones externas: permite agregar programas externos a la compilacin de ESET SysRescue. Carpeta seleccionada: carpeta donde se ubican los programas que se agregarn al disco de ESET SysRescue. 4.7.2.2 ESET Antivirus Cuando crea el CD de ESET SysRescue, puede seleccionar dos fuentes de archivos ESET para que se usen en la compilacin. Carpeta ESS/EAV: archivos ya incluidos en la carpeta donde se instal el producto ESET en el equipo Archivo MSI: se usan los archivos incluidos en el programa de instalacin MSI Perfil: puede utilizar una de las siguientes dos fuentes de nombre de usuario y contrasea: ESS/EAV instalado: el nombre de usuario y la contrasea se copiarn del producto ESET Mail Security actualmente instalado Del usuario: se utilizarn el nombre de usuario y la contrasea ingresados en los cuadros de texto correspondientes NOTA: El programa ESET Mail Security presente en el CD de ESET SysRescue se actualiza por Internet o mediante la solucin ESET Security instalada en el equipo donde se ejecuta el CD de ESET SysRescue. 4.7.2.3 Configuracin avanzada La pestaa Avanzado permite optimizar el CD de ESET SysRescue segn la cantidad de memoria de su equipo. Seleccione 512 MB o ms para escribir el contenido del CD en la memoria operativa (RAM). Si selecciona menor que 512 MB, se acceder en forma permanente al CD de recuperacin cuando WinPE se est ejecutando. Controladores externos: en esta seccin puede insertar controladores para hardware especfico (generalmente adaptadores de red). Aunque WinPE se basa en Windows Vista SP1, que soporta una amplia variedad de hardware, el hardware a veces no se reconoce. En este caso, es necesario agregar el controlador en forma manual. Hay dos formas de introducir un controlador en la compilacin de ESET SysRescue: manual (con el botn Agregar) y automtica (con el botn Bsqueda automtica). En el caso de la introduccin manual, debe seleccionar la ruta al archivo .inf correspondiente (en esta carpeta tambin debe estar presente el archivo *.sys aplicable). En el caso de la introduccin automtica, el controlador se busca automticamente en el sistema operativo del equipo dado. Es recomendable usar la introduccin automtica solo si ESET SysRescue se usa en un equipo que tiene el mismo adaptador de red que el equipo donde se cre el CD de ESET SysRescue. Durante la creacin, el controlador de ESET SysRescue se introduce en la compilacin, por lo que el usuario no necesitar buscarlo ms tarde.

    105

    4.7.2.4 Dispositivo USB de arranque Si seleccion los dispositivos USB como medio de destino, puede elegir uno de los medios USB disponibles en la pestaa Dispositivo USB de arranque (en caso de que haya ms de uno). Advertencia: El dispositivo USB seleccionado se formatear durante el proceso de creacin de SysRescue. Como consecuencia, se eliminarn todos los datos del dispositivo. 4.7.2.5 Grabacin Si seleccion como medio de destino un CD o DVD, puede especificar parmetros adicionales de grabacin en la pestaa Grabar. Eliminar archivo ISO: seleccione esta opcin para eliminar los archivos ISO luego de la creacin del CD de ESET SysRescue. Eliminacin habilitada: permite seleccionar entre el borrado rpido y el borrado completo. Dispositivo de grabacin: seleccione la unidad que usar para grabar. Advertencia: Esta opcin es la predeterminada. Si se usa un CD o DVD regrabable, se eliminarn todos los datos del CD o DVD. La seccin Medio contiene informacin sobre el medio que se encuentra insertado en el dispositivo de CD o DVD. Velocidad de grabacin: seleccione la velocidad deseada en el men desplegable. A la hora de seleccionar la velocidad de grabacin, deben tenerse en cuenta las capacidades de su dispositivo de grabacin y el tipo de CD o DVD utilizado. 4.7.3 Trabajo con ESET SysRescue Para que el CD/DVD/USB de recuperacin sea eficaz, debe iniciar el equipo desde el medio de arranque de ESET SysRescue. Se puede modificar la prioridad de arranque desde el BIOS. Alternativamente, puede hacer que se ejecute el men de arranque durante el inicio del equipo (en general, presionando una de las teclas F9 a F12, dependiendo de la versin de la placa base o del BIOS). Una vez efectuado el arranque, se iniciar ESET Mail Security. Como ESET SysRescue solo se utiliza en situaciones especficas, algunos mdulos de proteccin y caractersticas del programa presentes en la versin estndar de ESET Mail Security no son necesarios; la lista se limitar a Exploracin del equipo, Actualizacin y algunas secciones de la configuracin. La capacidad de actualizar la base de datos de firmas de virus es la caracterstica ms importante de ESET SysRescue; por lo tanto, se recomienda actualizar el programa antes de iniciar una exploracin del equipo. 4.7.3.1 Utilizacin de ESET SysRescue Imagine que los equipos de la red se infectaron con un virus que modifica los archivos ejecutables (.exe). ESET Mail Security es capaz de desinfectar todos los archivos infectados con excepcin de explorer.exe, que no se puede desinfectar, ni siquiera en Modo seguro. Esto se debe a que explorer.exe, por ser uno de los procesos esenciales de Windows, tambin se ejecuta en el Modo seguro. ESET Mail Security no tiene la posibilidad de realizar ninguna accin con el archivo, por lo que permanecera infectado. En un escenario de este tipo, existe la opcin de usar ESET SysRescue para resolver el problema. ESET SysRescue no requiere ningn componente del sistema operativo del host, de manera que es capaz de procesar (desinfectar, eliminar) cualquier archivo del disco.

    4.8 Opciones de la interfaz del usuario


    Las opciones de configuracin de ESET Mail Security permiten ajustar el entorno de trabajo conforme a sus necesidades. Puede acceder a estas opciones de configuracin desde la seccin Interfaz del usuario en el rbol de configuracin avanzada de ESET Mail Security. En la seccin Elementos de la interfaz del usuario, la opcin Modo avanzado les da a los usuarios la posibilidad de cambiar al modo avanzado. El modo avanzado muestra opciones de configuracin ms detalladas y controles adicionales de ESET Mail Security. La Interfaz grfica del usuario debe deshabilitarse si los elementos grficos disminuyen el rendimiento del equipo o provocan otros problemas. Tambin es posible que sea necesario desactivar la interfaz grfica para usuarios con discapacidades visuales, ya que podra entrar en conflicto con aplicaciones especiales utilizadas para leer el texto que aparece en pantalla. Si desea desactivar la pantalla de bienvenida de ESET Mail Security, quite la seleccin de la opcin Mostrar la pantalla de bienvenida al iniciar el programa.
    106

    En la parte superior de la pantalla de ESET Mail Security, aparece un men estndar que se puede activar o deshabilitar de acuerdo con la opcin Usar el men estndar. Si se habilita la opcin Mostrar la descripcin emergente, cuando el cursor pase sobre una opcin, se mostrar una breve descripcin sobre ella. Si se activa la opcin Seleccionar el elemento de control activo, el sistema resaltar el elemento que se encuentre actualmente bajo el rea activa del cursor del mouse. El elemento resaltado se activar con un clic del mouse. Para reducir o incrementar la velocidad de los efectos animados, seleccione la opcin Usar controles animados y mueva la barra de control deslizante Velocidad hacia la izquierda o derecha. Si desea habilitar el uso de conos animados para mostrar el progreso de diversas operaciones, seleccione la opcin Usar conos animados para indicar el progreso. Para que el programa emita una seal de advertencia cuando ocurre un suceso importante, seleccione la opcin Usar seal sonora.

    107

    Las caractersticas de la Interfaz del usuario tambin incluyen la opcin de proteger los parmetros de configuracin de ESET Mail Security por contrasea. Esta opcin puede encontrarse en el submen Proteccin de la configuracin, en Interfaz del usuario. Para proporcionarle a su sistema la mxima seguridad, es esencial que el programa est configurado correctamente. Las modificaciones no autorizadas pueden conllevar la prdida de datos importantes. Si desea establecer una contrasea para proteger el parmetro de configuracin, haga clic en Establecer contrasea...

    4.8.1 Alertas y notificaciones La seccin Configuracin de alertas y notificaciones en la Interfaz del usuario permite configurar cmo ESET Mail Security gestionar las alertas ante amenazas y las notificaciones del sistema. El primer elemento es Mostrar alertas. Si se desactiva esta opcin, se cancelarn todas las ventanas de alerta y resulta til nicamente para una cantidad limitada de situaciones especficas. Para la mayora de los usuarios, se recomienda dejar esta opcin en su configuracin predeterminada (es decir, habilitada). Para cerrar las ventanas emergentes automticamente despus de un perodo de tiempo determinado, seleccione la opcin Cerrar las casillas de mensajes automticamente despus de (seg.). Si no se cierran manualmente, las ventanas de alerta se cerrarn en forma automtica una vez transcurrido el perodo de tiempo especificado. Las notificaciones en el escritorio y los globos de sugerencias son solo informativos y no necesitan ni ofrecen interaccin con el usuario. Se muestran en el rea de notificaciones en la esquina inferior derecha de la pantalla. Para activar la visualizacin de notificaciones en el escritorio, seleccione la opcin Mostrar notificaciones en el escritorio. Se pueden modificar opciones con mayor nivel de detalle (como el tiempo de visualizacin de las notificaciones y la transparencia de la ventana) haciendo clic en el botn Configurar notificaciones....

    108

    Para obtener una vista previa de los criterios de filtrado, haga clic en el botn Vista previa. Para configurar la duracin del tiempo de visualizacin de los globos de sugerencias, consulte la opcin Mostrar globos de sugerencias en la barra de tareas (durante seg.).

    Haga clic en Configuracin avanzada... para ingresar Alertas y notificaciones adicionales en la configuracin, que incluyen la opcin Solo mostrar las notificaciones que requieren la interaccin del usuario. Esta opcin permite activar o desactivar la visualizacin de alertas y notificaciones que no requieran la intervencin del usuario Seleccione Solo mostrar las notificaciones que requieren la interaccin del usuario al ejecutar aplicaciones en modo de pantalla completa para suprimir todas las notificaciones no interactivas. Desde el men desplegable Cantidad mnima de detalle de sucesos para mostrar puede seleccionar el nivel inicial de gravedad de alertas y notificaciones que se mostrarn. La ltima caracterstica de esta seccin permite especificar el destino de las notificaciones en un entorno con varios usuarios. El campo En sistemas con varios usuarios, mostrar notificaciones en la pantalla del siguiente usuario: permite definir quin recibir las notificaciones importantes de ESET Mail Security. Normalmente, se tratar de un administrador del sistema o de la red. Esta opcin resulta especialmente til para servidores de terminal, siempre y cuando todas las notificaciones del sistema se enven al administrador 4.8.2 Deshabilitacin de la interfaz grfica del usuario en Terminal Server Este captulo describe cmo deshabilitar la interfaz grfica del usuario de ESET Mail Security cuando se ejecuta en Windows Terminal Server para sesiones de usuario. Normalmente, la interfaz grfica del usuario de ESET Mail Security se inicia cada vez que un usuario remoto se registra en el servidor y crea una sesin de terminal. Por lo general, esto no es deseable en servidores Terminal Server. Si desea desactivar la interfaz grfica del usuario para sesiones de terminal, siga estos pasos: 1. Ejecute regedit.exe 2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Haga un clic derecho en el valor egui y seleccione Modificar... 4. Agregue el modificador /terminal al final de la cadena de texto existente Abajo se muestra un ejemplo de cmo deben ser los datos del valor egui:
    "C:\Archivos de programa\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal

    Si desea revertir esta configuracin y habilitar el inicio automtico de la interfaz grfica del usuario de ESET Mail Security, quite el modificador /terminal . Para abrir el valor de registro de egui, repita los pasos 1. a 3.
    109

    4.9 Lnea de comandos


    El mdulo antivirus de ESET Mail Security se puede iniciar mediante una lnea de comandos, ya sea en forma manual (con el comando "ecls") o con un archivo de procesamiento por lotes (".bat"). Al ejecutar el mdulo de exploracin bajo demanda desde la lnea de comandos, pueden utilizarse los parmetros y las modificaciones que se muestran a continuacin: Opciones generales: - help - version - base-dir = FOLDER - quar-dir = FOLDER - aind Destinos: - files - no-files - boots - no-boots - arch - no-arch - max-archive-level = LEVEL - scan-timeout = LIMIT

    mostrar la ayuda y salir mostrar informacin de la versin y salir cargar mdulos desde FOLDER FOLDER de cuarentena mostrar indicador de actividad

    - max-arch-size=SIZE - mail - no-mail - sfx - no-sfx - rtp - no-rtp - exclude = FOLDER - subdir - no-subdir - max-subdir-level = LEVEL - symlink - no-symlink - ext-remove = EXTENSIONS - ext-exclude = EXTENSIONS

    explorar los archivos (predeterminado) no explorar los archivos explorar los sectores de arranque (predeterminado) no explorar los sectores de arranque explorar los archivos comprimidos (predeterminado) no explorar los archivos comprimidos LEVEL mximo de anidado de los archivos comprimidos explorar los archivos comprimidos durante LIMIT segundos como mximo. Si el tiempo de exploracin alcanza el lmite especificado, la exploracin del archivo comprimido se detiene y contina con el siguiente archivo. explorar solo los primeros bytes de SIZE en archivos comprimidos (el predeterminado es 0 = ilimitado) explorar los archivos de correo electrnico no explorar los archivos de correo electrnico explorar los archivos comprimidos de autoextraccin no explorar los archivos comprimidos de autoextraccin explorar los empaquetadores de tiempo de ejecucin no explorar los empaquetadores de tiempo de ejecucin excluir FOLDER de la exploracin explorar subcarpetas (predeterminado) no explorar las subcarpetas LEVEL mximo de anidado de las subcarpetas (el predeterminado es 0 = ilimitado) seguir los vnculos simblicos (predeterminado) saltear los vnculos simblicos excluir de la exploracin las EXTENSIONS delimitadas por dos puntos

    110

    Mtodos: - adware - no-adware - unsafe - no-unsafe - unwanted - no-unwanted - pattern - no-pattern - heur - no-heur - adv-heur - no-adv-heur Desinfeccin: - action = ACTION - quarantine - no-quarantine Registros: - log-file=FILE - log-rewrite - log-all - no-log-all Cdigos de salida posibles de la exploracin: 0 1 10 101 102 103

    explorar en bsqueda de adware/spyware/riskware no explorar en bsqueda de adware/spyware/riskware explorar en bsqueda de aplicaciones potencialmente no seguras no explorar en bsqueda de aplicaciones potencialmente no seguras explorar en bsqueda de aplicaciones potencialmente no deseadas no explorar en bsqueda de aplicaciones potencialmente no deseadas usar firmas no usar firmas habilitar la heurstica deshabilitar la heurstica habilitar la heurstica avanzada deshabilitar la heurstica avanzada

    realizar ACTION en los objetos infectados. Acciones disponibles: ninguna, desinfectar, alertar copiar los archivos infectados a cuarentena (suplementa la ACTION) no copiar los archivos infectados a cuarentena

    registrar salida en FILE sobrescribir archivo de salida (predeterminado - aadir) tambin registrar los archivos limpios no registrar los archivos limpios (predeterminado)

    ninguna amenaza detectada amenaza detectada pero no desinfectada quedaron algunos archivos infectados error de archivo comprimido error de acceso error interno

    NOTA: Los cdigos de salida mayores a 100 significan que no se explor el archivo, por lo que puede estar infectado.

    111

    4.10 Importacin y exportacin de una configuracin


    La importacin y exportacin de configuraciones de ESET Mail Security se encuentra disponible en la seccin Configuracin haciendo clic en Importar y exportar una configuracin. Tanto la funcin de importar como la de exportar usan el tipo de archivo .xml. La importacin y la exportacin resultan tiles cuando se necesita realizar una copia de seguridad con la configuracin actual de ESET Mail Security para poder utilizarla ms tarde. La opcin para exportar la configuracin tambin es conveniente para usuarios que desean usar su configuracin preferida de ESET Mail Security en varios sistemas, ya que de esta manera pueden importar fcilmente el archivo .xml para transferir las opciones de configuracin deseadas.

    4.11 ThreatSense.Net
    El sistema de alerta temprana ThreatSense.Net mantiene a ESET informado en forma instantnea y continua sobre las nuevas infiltraciones. El sistema bidireccional de alerta temprana ThreatSense.Net tiene un nico propsito: mejorar la proteccin que le ofrecemos al usuario. La mejor forma de asegurarnos de ver las nuevas amenazas ni bien aparecen es establecer un "vnculo" con la mayor cantidad posible de clientes, que cumplirn el papel de exploradores de amenazas. Hay dos opciones: 1. Decidir que no desea habilitar el sistema de alerta temprana ThreatSense.Net. Se mantendrn las mismas funciones del programa y usted seguir recibiendo la mejor proteccin que le podemos ofrecer. 2. Configurar el sistema de alerta temprana ThreatSense.Net para enviar informacin annima sobre nuevas amenazas y sobre el contexto donde se encuentra dicho cdigo. Es posible enviar este archivo a ESET para su anlisis detallado. El estudio de estas amenazas ayudar a ESET a actualizar su capacidad de deteccin de amenazas. El sistema de alerta temprana ThreatSense.Net recopilar informacin sobre el equipo en relacin a las nuevas amenazas detectadas. Dicha informacin puede incluir una muestra o copia del archivo donde apareci la amenaza, la ruta a ese archivo, el nombre del archivo, la fecha y la hora, el proceso mediante el cual apareci la amenaza e informacin sobre el sistema operativo del equipo. Aunque cabe la posibilidad de que ocasionalmente este proceso revele cierta informacin acerca del usuario o del equipo (nombres de usuario en la ruta a un directorio, etc.) al laboratorio de amenazas de ESET, la informacin no ser utilizada BAJO NINGUNA CIRCUNSTANCIA con otro propsito que no sea para ayudar a responder de inmediato a nuevas amenazas. En forma predeterminada, ESET Mail Security est configurado para preguntar antes de enviar archivos sospechosos a los laboratorios de amenazas de ESET para su anlisis detallado. Los archivos con ciertas extensiones como .doc o .xls siempre quedan excluidos del envo. Tambin puede agregar otras extensiones si hay archivos especficos que usted o su empresa prefieren no enviar.

    112

    Puede acceder a la configuracin de ThreatSense.Net desde el rbol de configuracin avanzada en Herramientas > ThreatSense.Net. Seleccione la opcin Habilitar el sistema de alerta temprana ThreatSense para activarlo y luego haga clic en el botn Configuracin avanzada....

    4.11.1 Archivos sospechosos La opcin Archivos sospechosos permite configurar la manera en que las amenazas se envan al laboratorio de amenazas de ESET para su anlisis. Si encuentra un archivo sospechoso, puede enviarlo a nuestro laboratorio de amenazas para su anlisis. Si se trata de una aplicacin maliciosa, se agregar su deteccin en la siguiente actualizacin de la base de datos de firmas de virus. Se puede configurar el envo de archivos para que se realice en forma automtica o seleccionar la opcin Preguntar antes de enviar si desea conocer qu archivos se prepararon para enviar y analizar, y confirmar el envo.

    113

    Si no desea que se enve ningn archivo, seleccione la opcin No enviar para su anlisis. Si selecciona no enviar los archivos para su anlisis, no afectar el envo de la informacin estadstica, lo que se configura en una seccin aparte (ver la seccin Estadsticas 114 ). Cundo enviar: predeterminadamente, se encuentra seleccionada la opcin Lo antes posible para enviar los archivos sospechosos al laboratorio de amenazas de ESET. Es la opcin recomendada si hay una conexin permanente a Internet disponible y los archivos sospechosos se pueden enviar sin demoras. Seleccione la opcin Durante la actualizacin para que los archivos sospechosos se carguen a ThreatSense.Net durante la siguiente actualizacin. Filtro de exclusin: el filtro de exclusin permite excluir ciertos archivos o carpetas del envo. Por ejemplo, quiz resulte til excluir archivos que puedan contener informacin confidencial, como documentos u hojas de clculo. Los tipos de archivos ms comunes se excluyen en forma predeterminada (.doc, etc.). Si lo desea, puede agregar ms extensiones a la lista de archivos excluidos. Correo electrnico de contacto: su Correo electrnico de contacto (opcional) puede enviarse junto con los archivos sospechosos y podr utilizarse para contactarlo en caso de que se requiera informacin adicional para el anlisis. Recuerde que no recibir ninguna respuesta de ESET a menos que se necesite informacin adicional. 4.11.2 Estadsticas El sistema de alerta temprana ThreatSense.Net recopila informacin annima sobre el equipo en relacin a las nuevas amenazas detectadas. Esta informacin puede incluir el nombre de la infiltracin, la fecha y la hora en que fue detectada, la versin del producto de seguridad de ESET, la versin del sistema operativo y la configuracin de la ubicacin. Normalmente, las estadsticas se envan a los servidores de ESET una o dos veces por da. A continuacin se muestra un ejemplo de un paquete estadstico enviado:
    # # # # # # # # #

    utc_time=2005-04-14 07:21:28 country="Argentina" language="ESPAOL" osver=5.1.2600 NT engine=5417 components=2.50.2 moduleid=0x4e4f4d41 filesize=28368 filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1

    Cundo enviar: puede definir cundo se enviar la informacin estadstica. Si elige enviarla Lo antes posible, la informacin estadstica se enviar de inmediato tras su creacin. Esta configuracin es apropiada si existe una conexin permanente a Internet. Si se encuentra habilitada la opcin Durante la actualizacin, toda la informacin estadstica se enviar en forma masiva durante la siguiente actualizacin.

    114

    4.11.3 Envo El usuario tiene la posibilidad de seleccionar la manera en que los archivos y la informacin estadstica se enviarn a ESET. Seleccione la opcin Por medio de Remote Administrator o directamente a ESET para que se enven los archivos y las estadsticas por cualquier medio disponible. Seleccione la opcin Por medio de ESET Remote Administrator para enviar los archivos y las estadsticas al servidor de administracin remota, que luego se asegurar de que se reenven al laboratorio de amenazas de ESET. Si se encuentra seleccionada la opcin Directamente a ESET, todos los archivos sospechosos y la informacin estadstica se enviarn al laboratorio de virus de ESET directamente desde el programa.

    Cuando hay archivos pendientes para su envo, el botn Enviar ahora estar activo. Haga clic en el botn para enviar los archivos y la informacin estadstica de inmediato. Seleccione la opcin Activar registro para crear un registro con los archivos y la informacin estadstica de los envos.

    115

    4.12 Administracin remota


    El administrador remoto ESET Remote Administrator (ERA) es una poderosa herramienta para gestionar las polticas de seguridad y obtener una visin general de la seguridad global dentro de una red. Resulta especialmente til al aplicarla en grandes redes. ERA no slo proporciona un incremento en el nivel de seguridad, sino que tambin permite la gestin sencilla de ESET Mail Security en las estaciones de trabajo cliente. Las opciones de configuracin de la administracin remota se encuentran disponibles en la ventana principal del programa ESET Mail Security. Haga clic en Configuracin > Ingresar al rbol completo de configuracin avanzada... > Varios > Administracin remota.

    Active la administracin remota seleccionando la opcin Conectarse al servidor ESET Remote Administrator. A continuacin, puede acceder a las dems opciones detalladas abajo: Intervalo entre conexiones al servidor (min.): Esta opcin establece la frecuencia con que ESET Mail Security se conectar al ERA Server. Si esta opcin est configurada en 0, se enviar la informacin cada 5 segundos. Direccin del servidor: Direccin de red del servidor donde est instalado el ERA Server. Puerto: Este campo contiene un puerto de servidor predefinido utilizado para la conexin. Se recomienda mantener la configuracin del puerto predeterminada en 2222 El servidor ESET Remote Administrator requiere autenticacin: Permite ingresar una contrasea para conectarse al ERA Server, si es necesario. Haga clic en Aceptar para confirmar los cambios y aplicar la configuracin. ESET Mail Security usar esta configuracin para conectarse al ERA Server.

    116

    4.13 Licencias
    La seccin Licencias permite administrar las claves de licencia para ESET Mail Security y otros productos de ESET, como ESET Mail Security, etc. Luego de la adquisicin, las claves de licencia se distribuyen junto con el nombre de usuario y la contrasea correspondientes. Para Agregar/Eliminar una clave de licencia, haga clic en el botn correspondiente de la ventana de administracin de licencias. Puede acceder al administrador de licencias desde el rbol de configuracin avanzada en Varios > Licencias.

    La clave de licencia es un archivo de texto que contiene informacin sobre el producto adquirido: el propietario, la cantidad de licencias y la fecha de vencimiento. La ventana del administrador de licencias permite cargar y visualizar el contenido de la clave de licencia mediante el botn Agregar...; la informacin incluida se muestra en el administrador. Para eliminar los archivos de licencia de la lista, haga clic en Quitar. Si una clave de licencia est vencida y desea adquirir una renovacin, haga clic en el botn Pedir...; ser redirigido a nuestra tienda en lnea.

    117

    5. Glosario
    5.1 Tipos de infiltracin
    Una infiltracin es un programa con cdigos maliciosos que intenta ingresar al equipo del usuario y/o daarlo. 5.1.1 Virus Un virus informtico es una infiltracin que daa los archivos existentes en el equipo. Se denominaron as por los virus biolgicos, ya que utilizan tcnicas similares para propagarse desde un equipo a otro. Los virus informticos atacan principalmente a los archivos ejecutables y documentos. Para replicarse, el virus adjunta su cuerpo al final del archivo de destino. En resumen, el virus informtico funciona de esta forma: una vez que se ejecuta el archivo infectado, el virus se activa (antes que la aplicacin original) y realiza su tarea predefinida. Recin cuando termina de hacerlo, permite que se ejecute la aplicacin original. Un virus no puede infectar un equipo a menos que un usuario, ya sea en forma accidental o deliberada, ejecute o abra el programa malicioso. Los virus informticos pueden variar en su objetivo y gravedad. Algunos son extremadamente peligrosos debido a su capacidad de eliminar archivos del disco duro en forma deliberada. Por otra parte, otros no provocan ningn dao: slo sirven para molestar al usuario y demostrar las habilidades tcnicas de sus creadores. Es importante destacar que los virus (al compararlos con los troyanos o los spyware) cada vez son menos frecuentes, ya que los autores de programas maliciosos no los encuentran comercialmente atrayentes. Adems, el trmino virus se suele utilizar de manera incorrecta para abarcar todos los tipos de infiltraciones. El uso indebido del trmino se est superando gradualmente y se lo est reemplazando por el nuevo trmino, ms apropiado, malware (programa malicioso). Si su equipo est infectado con un virus, ser necesario restaurar los archivos infectados a su estado original, es decir, desinfectarlos mediante un programa antivirus. Algunos ejemplos de virus son: OneHalf, Tenga y Yankee Doodle. 5.1.2 Gusanos Un gusano informtico es un programa que contiene cdigos maliciosos que atacan a los equipos host y se propagan a travs de una red. La diferencia bsica entre un virus y un gusano es que los gusanos tienen la capacidad de replicarse y viajar por s mismos; no dependen de archivos host (o de sectores de arranque). Los gusanos se propagan por medio de mensajes de correo electrnico a la lista de contactos del usuario o aprovechan vulnerabilidades de seguridad en aplicaciones de red. Como consecuencia, los gusanos son mucho ms viables que los virus informticos. Debido a la alta disponibilidad de Internet, pueden propagarse alrededor del mundo en cuestin de horas e incluso minutos desde su lanzamiento. Esta capacidad de replicarse en forma independiente y rpida los hace ms peligrosos que otros tipos de malware. Un gusano activado en un sistema puede provocar una serie de inconvenientes: eliminar archivos, afectar perjudicialmente el rendimiento del sistema o incluso desactivar programas. La naturaleza del gusano informtico le permite servir de medio de transporte para otros tipos de infiltraciones. Si su equipo est infectado con un gusano, se recomienda eliminar los archivos infectados, ya que probablemente contengan cdigos maliciosos. Algunos ejemplos de gusanos conocidos son: Lovsan/Blaster, Stration/Warezov, Bagle y Netsky.

    118

    5.1.3 Troyanos Histricamente, los troyanos (o caballos de Troya) informticos se han definido como una clase de infiltracin que intenta pasar por un programa til y engaar a los usuarios para que los dejen ejecutarse. Sin embargo, es importante aclarar que esto era cierto para los troyanos en el pasado; hoy en da ya no tienen la necesidad de disfrazarse. Su nico propsito es infiltrarse lo ms fcilmente posible y cumplir sus objetivos maliciosos. "Troyano se ha convertido en un trmino muy general para describir cualquier infiltracin que no entre en ninguna otra clasificacin especfica. Como se trata de una categora muy amplia, a menudo se divide en muchas subcategoras: Descargador: es un programa malicioso con capacidad de descargar otras infiltraciones desde Internet Lanzador: es un tipo de troyano diseado para lanzar otros tipos de malware a equipos expuestos Programa de puerta trasera: es una aplicacin que se comunica con atacantes remotos, lo que les permite obtener acceso a un sistema y controlarlo Registrador de pulsaciones: es un programa que registra cada pulsacin que el usuario hace en el teclado y enva la informacin a atacantes remotos Marcador: es un programa diseado para conectar el equipo a nmeros con tarifas ms elevadas de lo normal. Resulta casi imposible que el usuario advierta que se ha creado una nueva conexin. Los marcadores slo pueden perjudicar a los usuarios que se conectan a Internet a travs de un mdem de discado telefnico, lo que est dejando de ser habitual. Los troyanos por lo general adoptan la forma de archivos ejecutables con extensin .exe. Si un archivo de su equipo es identificado como un troyano, se aconseja eliminarlo, ya que lo ms probable es que contenga cdigos maliciosos. Algunos ejemplos de troyanos conocidos son: NetBus, Trojandownloader. Small.ZL, Slapper 5.1.4 Rootkits Los rootkits son programas maliciosos que les garantizan a los atacantes por Internet acceso ilimitado a un sistema, a la vez que ocultan su presencia. Despus de acceder a un sistema (en general luego de aprovecharse de una vulnerabilidad de un sistema), los rootkits utilizan funciones del sistema operativo para evitar ser detectados por el software antivirus: ocultan procesos, archivos y datos del registro de Windows. Por esa razn, es casi imposible detectarlos por medio de tcnicas comunes de evaluacin. Existen dos niveles de deteccin para prevenir rootkits: 1) Cuando intentan acceder al sistema. Todava no estn presentes, por lo tanto estn inactivos. La mayora de los sistemas antivirus pueden eliminar rootkits en este nivel (asumiendo que realmente detectan dichos archivos como infectados). 2) Cuando se ocultan de la evaluacin comn. Los usuarios de ESET Mail Security tienen la ventaja de contar con la tecnologa AntiStealth, que tambin es capaz de detectar y eliminar rootkits activos. 5.1.5 Adware Adware es el trmino abreviado correspondiente a un programa relacionado con la publicidad. Los programas que muestran material publicitario se incluyen en esta categora. Las aplicaciones de adware suelen abrir automticamente una nueva ventana emergente con avisos publicitarios en un navegador Web o cambiar la pgina de inicio del navegador. Con frecuencia, el adware forma parte de un paquete junto con programas de distribucin gratuita, lo que permite a los creadores de dichos programas cubrir los gastos del desarrollo de sus aplicaciones (normalmente tiles). El adware no constituye un peligro en s mismo; solo puede molestar a los usuarios con las publicidades. El peligro reside en el hecho de que el adware tambin puede realizar funciones de seguimiento (al igual que el spyware). Si decide utilizar un producto de distribucin gratuita, preste especial atencin durante su instalacin. Lo ms probable es que el programa de instalacin le informe acerca de la instalacin de un programa de adware adicional.
    119

    En muchas ocasiones se le permitir cancelar esa opcin e instalar el programa sin el adware. Sin embargo, otros programas no se instalarn sin el adware o sus funciones sern limitadas. Esto significa que el adware a menudo puede obtener acceso al sistema en forma legal, ya que los usuarios dieron su consentimiento para instalarlo. En este caso, es mejor prevenir que lamentarse luego. Si se detecta un archivo como adware en el equipo, se recomienda eliminarlo, ya que existe una gran probabilidad de que contenga cdigos maliciosos. 5.1.6 Spyware Esta categora abarca todas las aplicaciones que envan informacin privada sin el consentimiento o el conocimiento del usuario. El spyware utiliza funciones de seguimiento para enviar diversos datos estadsticos, tales como una lista de sitios Web visitados, direcciones de correo electrnico de la lista de contactos del usuario o una lista con el registro de las pulsaciones del teclado. Los creadores del spyware afirman que el propsito de estas tcnicas es averiguar ms sobre las necesidades y los intereses de los usuarios y mejorar la orientacin de las publicidades. El problema es que no existe una clara distincin entre las aplicaciones tiles y las maliciosas y nadie puede asegurar que la informacin recuperada no se usar inadecuadamente. Los datos obtenidos por las aplicaciones spyware pueden contener cdigos de seguridad, nmeros de identificacin PIN, nmeros de cuentas bancarias, etc. El spyware suele estar incluido en un paquete junto a versiones gratuitas de programas del mismo creador con el objetivo de generar ingresos o como un incentivo para que el usuario luego adquiera el programa. Con frecuencia, se les informa a los usuarios sobre la presencia del spyware durante la instalacin del programa para incentivarlos a reemplazar el producto por la versin paga, que no incluye spyware. Algunos ejemplos de productos de distribucin gratuita conocidos que incluyen spyware son las aplicaciones de cliente de redes P2P (redes de pares). Spyfalcon o Spy Sheriff (entre muchas otras) pertenecen a una subcategora especfica de spyware: aparentan ser programas antispyware, pero en realidad ellos mismos son programas spyware. Si se detecta un archivo como spyware en el equipo, se recomienda eliminarlo, ya que existe una gran probabilidad de que contenga cdigos maliciosos. 5.1.7 Aplicaciones potencialmente no seguras Existen muchos programas legtimos cuya funcin es simplificar la gestin de los equipos en red. Sin embargo, en manos equivocadas pueden ser utilizados con propsitos maliciosos. ESET Mail Security brinda la opcin de detectar dichas amenazas. "Aplicaciones potencialmente no seguras" es la clasificacin usada para programas comerciales y legtimos. Esta clasificacin incluye programas como herramientas de acceso remoto, aplicaciones para adivinar contraseas y registradores de pulsaciones 119 (programas que registran las pulsaciones del teclado por parte del usuario). Si descubre que hay una aplicacin potencialmente no segura presente y activa en su equipo (y que usted no instal), consulte a su administrador de red o elimine la aplicacin. 5.1.8 Aplicaciones potencialmente no deseadas Las aplicaciones potencialmente no deseadas no tienen necesariamente la intencin de ser maliciosas, pero pueden afectar el rendimiento de su equipo en forma negativa. Dichas aplicaciones suelen requerir el consentimiento del usuario para su instalacin. Si estn presentes en el equipo, el sistema se comporta de manera diferente (al compararlo con el estado previo a su instalacin). Los cambios ms significativos son: Apertura de nuevas ventanas nunca antes vistas Activacin y ejecucin de procesos ocultos Incremento en el uso de los recursos del sistema Cambios en los resultados de las bsquedas La aplicacin establece comunicaciones con servidores remotos

    120

    5.2 Correo electrnico


    El correo electrnico (o email) es una forma moderna de comunicacin que tiene muchas ventajas. Es flexible, rpido y directo, y desempe un papel crucial en la proliferacin de Internet a principios de la dcada de 1990. Lamentablemente, debido a su alto grado de anonimato, el correo electrnico e Internet dejan un margen para las actividades ilegales como el envo de spam. El spam incluye avisos no solicitados, mensajes falsos y la proliferacin de software malicioso (o malware). La desventaja y el peligro para el usuario se ven incrementados por el hecho de que el costo de enviar spam es mnimo y de que los creadores de spam cuentan con muchas herramientas para obtener nuevas direcciones de correo electrnico. Por otro lado, el volumen y la diversidad del spam lo hacen muy difcil de controlar. Cuanto ms se use una direccin de correo electrnico, hay ms probabilidades de que termine en la base de datos de un motor de spam. Algunos consejos para la prevencin: Si es posible, no publique su direccin de correo electrnico en Internet Solo d su direccin de correo electrnico a personas de confianza Si es posible, no use alias comunes; con alias ms complejos, hay menos probabilidades de realizar un seguimiento No conteste los mensajes de spam que ya llegaron a su buzn de entrada Sea precavido al completar formularios de Internet; tenga un cuidado especial con opciones como "S, deseo recibir informacin." Use direcciones de correo electrnico "especializadas"; por ejemplo, una para el trabajo, otra para comunicarse con las amistades, etc. De cuando en cuando, cambie su direccin de correo electrnico Use una solucin antispam 5.2.1 Anuncios Los anuncios por Internet constituyen una de las formas de publicidad de crecimiento ms rpido. Sus principales ventajas de marketing son los costos mnimos y el alto nivel de direccionamiento; adems, los mensajes se distribuyen casi de inmediato. Muchas empresas usan herramientas de marketing por correo electrnico para comunicarse en forma efectiva con sus clientes actuales y potenciales. Este tipo de publicidad es legtima, ya que el destinatario puede estar interesado en recibir informacin comercial sobre ciertos productos. No obstante, muchas empresas envan mensajes comerciales masivos no solicitados. En esos casos, la publicidad por correo electrnico cruza la lnea y se convierte en spam. La cantidad de correo electrnico no solicitado comenz a ser un problema y no muestra signos de desacelerar. Los creadores de los correos electrnicos no solicitados suelen tratar de disfrazar el spam, hacindolos pasar por mensajes legtimos. 5.2.2 Mensajes falsos Un mensaje falso (o hoax) es informacin falsa que se propaga por Internet. Los mensajes falsos generalmente se envan a travs del correo electrnico o de herramientas de comunicacin como ICQ y Skype. El mensaje en s suele ser una broma o una leyenda urbana. Los mensajes falsos propagados por virus informticos tienen el propsito de provocar miedo, incertidumbre y duda en los destinatarios, hacindoles creer que tienen un "virus no detectable" que est borrando archivos y recuperando contraseas, o realizando otras actividades dainas en el sistema. Para perpetuarse, algunos mensajes falsos le piden al destinatario que los reenven a sus contactos. Hay una gran variedad de mensajes falsos: los transmitidos por telefona mvil, pedidos de ayuda, personas que ofrecen enviarle al destinatario dinero desde el exterior, etc. Es prcticamente imposible determinar el propsito de su creador. Cuando un mensaje instiga al destinatario a reenviarlo a todos sus conocidos, es muy probable que se trate de un
    121

    mensaje falso. Existen muchos sitios Web en Internet para verificar si un correo electrnico es legtimo. Antes de reenviar dichos mensajes, el usuario debe realizar una bsqueda en Internet sobre todos los que sospeche que puedan ser falsos. 5.2.3 Phishing El trmino phishing define una actividad criminal que utiliza tcnicas de ingeniera social (manipula a los usuarios para obtener informacin confidencial). Su propsito es obtener el acceso a datos confidenciales, como nmeros de cuentas bancarias, cdigos de identificacin personal, etc. Muchas veces logran el acceso mediante el envo de correos electrnicos encubiertos como correos legtimos de personas o empresas confiables (por ej., una institucin financiera, una compaa de seguros, etc.). El correo parece realmente genuino y puede incluir grficos y contenidos tomados originalmente de la fuente real por la que se hace pasar. Le solicita al usuario que ingrese, por diversas excusas (verificacin de datos, operaciones financieras), ciertos datos personales, como nmeros de cuentas bancarias, nombres de usuario y contraseas, etc. Si ingresa estos datos, pueden ser robados y malversados con facilidad. Hay que tener en cuenta que los bancos, compaas de seguros y otras empresas legtimas nunca solicitarn nombres de usuario o contraseas en un correo electrnico no solicitado. 5.2.4 Reconocimiento de fraudes de spam En general, existen varios indicadores que ayudan a identificar mensajes de spam (correo no solicitado) en su buzn de entrada. Si el mensaje cumple con al menos alguno de los siguientes criterios, probablemente se trate de un mensaje de spam: La direccin del remitente no pertenece a una persona de su lista de contactos Se le ofrece una gran cantidad de dinero, pero antes usted tiene que enviar una pequea cantidad Le solicitan que ingrese, por diversas excusas (verificacin de datos, operaciones financieras), ciertos datos personales, como nmeros de cuentas bancarias, nombres de usuario y contraseas, etc. Est escrito en un idioma extranjero Le ofrecen que adquiera un producto en el que usted no est interesado. Si igual lo desea comprar, antes verifique que el remitente del mensaje sea un proveedor confiable (consulte al fabricante original del producto) Algunas palabras tienen errores de ortografa para engaar el filtro del programa antispam Por ejemplo, vaigra en lugar de viagra, etc. 5.2.4.1 Reglas En el contexto de las soluciones antispam y los clientes de correo electrnico, las reglas son herramientas para manipular funciones de correo electrnico. Consisten en dos partes lgicas: 1) Condicin (por ej., un mensaje entrante de una direccin determinada) 2) Accin (por ej., eliminacin del mensaje, movindolo a una carpeta especfica) La cantidad y combinacin de reglas vara segn la solucin antispam. Estas reglas sirven como medidas contra el spam (correo electrnico no solicitado). Ejemplos tpicos: Condicin: Un mensaje de correo electrnico entrante contiene algunas palabras que normalmente aparecen en los mensajes de spam 2. Accin: Eliminar el mensaje Condicin: Un mensaje de correo electrnico entrante contiene un archivo adjunto con una extensin .exe 2. Accin: Eliminar el archivo adjunto y enviar el mensaje al buzn de correo Condicin: Llega un mensaje de correo electrnico entrante enviado por su jefe 2. Accin: Mover el mensaje a la carpeta "Trabajo" Es recomendable que use una combinacin de reglas en programas antispam para facilitar la administracin y filtrar el spam de manera ms eficaz.
    122

    5.2.4.2 Filtro bayesiano El filtro bayesiano para spam es una forma efectiva de filtrado de correo electrnico utilizada por casi todos los productos antispam. Tiene la capacidad de identificar el correo electrnico no solicitado con un alto grado de precisin y puede funcionar en forma individual para cada usuario. Esta funcionalidad se basa en el siguiente principio: En la primera etapa, se lleva a cabo el proceso de aprendizaje. El usuario marca en forma manual una cantidad suficiente de mensajes como mensajes legtimos o como spam (en general, 200 y 200). El filtro analiza ambas categoras y aprende, por ejemplo, que el spam generalmente contiene las palabras "rolex" o "viagra" y que los mensajes legtimos son los enviados por los miembros de la familia o desde las direcciones que se encuentran en la lista de contactos del usuario. Siempre y cuando se procese una cantidad suficiente de mensajes, el filtro bayesiano ser capaz de asignarle a cada mensaje un "ndice de spam" especfico con el objetivo de determinar si es spam o no. La ventaja principal del filtro bayesiano es su flexibilidad. Por ejemplo, si el usuario es bilogo, todos los correos electrnicos entrantes relacionados a la biologa o a mbitos de estudio afines por lo general recibirn un ndice de probabilidad menor. Si un mensaje incluye palabras que normalmente corresponderan a mensajes no solicitados, pero que se envi desde una direccin incluida en la lista de contactos del usuario, se marcar como legtimo, ya que los remitentes de la lista de contactos disminuyen la probabilidad general de que el mensaje sea spam. 5.2.4.3 Lista blanca En general, una lista blanca es una lista de elementos o personas aceptados o que tienen acceso permitido. El trmino lista blanca de correos electrnicos representa una lista de contactos de quienes el usuario desea recibir mensajes. Dichas listas blancas se basan en palabras clave que se buscan en las direcciones de correo electrnico, nombres de dominio o direcciones IP. Si una lista blanca funciona en modo exclusivo, los mensajes provenientes de cualquier otra direccin, dominio o direccin IP no se recibirn. Por el contrario, si no est en modo exclusivo, dichos mensajes no sern eliminados; sern filtrados de alguna otra forma. La lista blanca se basa en el principio opuesto que la lista negra 123 . Las listas blancas son relativamente fciles de mantener, mucho ms sencillas que las listas negras. Es recomendable el uso tanto de la lista blanca como de la negra para filtrar el spam de manera ms eficiente. 5.2.4.4 Lista negra En general, una lista negra es una lista de elementos o personas no aceptados o prohibidos. En el mundo virtual, es una tcnica por medio de la cual se aceptan los mensajes provenientes de todos los usuarios que no figuran en dicha lista. Hay dos tipos de listas negras. Las creadas por los usuarios desde su aplicacin antispam y las profesionales, que son listas negras actualizadas regularmente y creadas por instituciones especializadas, que se pueden descargar desde Internet. Es imprescindible usar listas negras para bloquear el spam satisfactoriamente, pero es difcil mantenerlas, ya que todos los das aparecen nuevos elementos para bloquear. Es recomendable usar a la vez una lista blanca 123 y una lista negra para filtrar el spam de la manera ms eficaz. 5.2.4.5 Control desde el servidor El control desde el servidor es una tcnica para identificar correos electrnicos masivos basndose en la cantidad de mensajes recibidos y en la reaccin de los usuarios. Cada mensaje deja una huella digital nica en el servidor segn el contexto del mensaje. Se trata de un nmero nico de identificacin que no revela nada sobre el contenido del correo electrnico. Dos mensajes idnticos tendrn la misma huella, mientras que dos mensajes diferentes tendrn huellas distintas. Cuando un mensaje es marcado como spam, su huella se enva al servidor. Si el servidor recibe otras huellas idnticas (correspondientes a cierto mensaje de spam), la huella se guarda en la base de datos con huellas de spam. Al analizar los mensajes entrantes, el programa enva las huellas de los mensajes al servidor. El servidor devuelve informacin sobre las huellas que corresponden a mensajes que ya fueron identificados por los usuarios como spam.

    123

    También podría gustarte