ESET Mail Security for Exchange Server 10.0 Manuel du propriétaire

Ajouter à Mes manuels
302 Des pages
ESET Mail Security for Exchange Server 10.0 Manuel du propriétaire | Fixfr
ESET Mail Security
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Droit d’auteur ©2023 par ESET, spol. s r.o.
ESET Mail Security a été développé par ESET, spol. s r.o.
Pour plus d’informations, visitez le site https://www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de
récupération ni transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique,
photocopie, enregistrement, numérisation ou autrement sans l’autorisation écrite de l’auteur.
ESET, spol. s r.o. se réserve le droit de modifier l’un des logiciels d’application décrits sans préavis.
Assistance technique : https://support.eset.com
REV. 2023-08-04
1 Aperçu ............................................................................................................................................... 1
1.1 Caractéristiques principales ......................................................................................................... 1
1.2 Nouveautés ............................................................................................................................... 3
1.3 Flux de courriels ......................................................................................................................... 4
1.4 Caractéristiques de ESET Mail Security et rôles du serveur Exchange ............................................... 5
1.5 Rôles du serveur Exchange .......................................................................................................... 6
1.6 Modules de protection ................................................................................................................ 6
1.7 Sécurité multicouche .................................................................................................................. 8
1.7 Protection de la base de données de messagerie ..................................................................................... 8
1.7 Protection du transport de messagerie ................................................................................................ 9
1.7 Analyse de la base de données de boîtes de courriels à la demande .............................................................. 10
1.7 L’analyse de base de données de boîtes aux lettres Microsoft 365 ................................................................ 10
2 Exigences système ......................................................................................................................... 11
3 Préparation à l'installation .............................................................................................................. 12
3.1 Étapes d'installation de ESET Mail Security .................................................................................. 14
3.1 Exporter les paramètres ou supprimer l'installation ................................................................................ 17
3.1 Mise à jour initiale des modules ...................................................................................................... 18
3.2 Installation si licencieuse / sans assistance ................................................................................. 19
3.2 Installation de la ligne de commande ................................................................................................ 20
3.3 Activation du produit ................................................................................................................ 23
3.3 Activation réussie ..................................................................................................................... 25
3.3 Échec de l'activation .................................................................................................................. 25
3.3 Licence ................................................................................................................................ 25
3.4 Mettre à niveau vers la version la plus récente? ........................................................................... 26
3.4 Mise à niveau à l'aide de ESET PROTECT ............................................................................................ 27
3.4 Mise à niveau à l'aide de la grappe ESET ............................................................................................ 28
3.5 Installation dans un environnement en grappe ............................................................................ 31
3.6 Serveur de terminal .................................................................................................................. 31
3.7 Environnement multiserveur / DAG ............................................................................................. 31
4 Prise en main .................................................................................................................................. 32
4.1 Tâches post-installation ............................................................................................................ 32
4.2 Géré par l'entremise de ESET PROTECT ....................................................................................... 33
4.3 Surveillance ............................................................................................................................. 34
4.3 Mises à jour Windows disponibles .................................................................................................... 36
4.3 Isolement réseau ..................................................................................................................... 37
5 Utiliser ESET Mail Security .............................................................................................................. 38
5.1 Analyser .................................................................................................................................. 38
5.1 Fenêtre d'analyse et journal d'analyse .............................................................................................. 40
5.2 Fichiers journaux ...................................................................................................................... 43
5.2 Filtrage du journal .................................................................................................................... 46
5.3 Mettre à jour ............................................................................................................................ 48
5.4 Quarantaine de courriel ............................................................................................................. 50
5.5 Configuration ........................................................................................................................... 53
5.5 Serveur ................................................................................................................................ 54
5.5 Ordinateur ............................................................................................................................. 55
5.5 Réseau ................................................................................................................................ 56
5.5 Assistant de dépannage réseau ...................................................................................................... 57
5.5 Web et courriel ........................................................................................................................ 58
5.5 Outils - Journalisation de diagnostic ................................................................................................. 59
5.5 Importation et exportation des paramètres ......................................................................................... 60
...................................................................................................................................... 61
................................................................................................................... 62
5.6 Statistiques de protection ............................................................................................................ 64
5.6 Grappe ................................................................................................................................ 66
5.6 Assistant pour la grappe : Sélection des nœuds .................................................................................... 68
5.6 Assistant pour la grappe : Paramètres de grappe ................................................................................... 69
5.6 Assistant pour la grappe : Paramètres de configuration de grappe ................................................................ 70
5.6 Assistant pour la grappe : Vérification des nœuds .................................................................................. 70
5.6 Assistant pour la grappe : Installation des nœuds .................................................................................. 72
5.6 ESET Shell ............................................................................................................................. 74
5.6 Usage .................................................................................................................................. 76
5.6 Commandes ........................................................................................................................... 81
5.6 Raccourcis clavier ..................................................................................................................... 84
5.6 Fichiers séquentiels/script ............................................................................................................ 85
5.6 ESET LiveGuard Advanced ........................................................................................................... 86
5.6 ESET SysInspector .................................................................................................................... 88
5.6 ESET SysRescue Live ................................................................................................................. 89
5.6 Planificateur ........................................................................................................................... 89
5.6 Planificateur - Ajouter une tâche ..................................................................................................... 90
5.6 Type de la tâche ...................................................................................................................... 93
5.6 Exécution de la tâche ................................................................................................................. 94
5.6 Déclenchée par un événement ...................................................................................................... 94
5.6 Exécuter l'application ................................................................................................................. 95
5.6 Tâche ignorée ......................................................................................................................... 95
5.6 Aperçu des tâches planifiées ......................................................................................................... 95
5.6 Envoyer les échantillons pour analyse... ............................................................................................. 95
5.6 Fichier suspect ........................................................................................................................ 97
5.6 Site suspect ........................................................................................................................... 97
5.6 Fichier faux positif .................................................................................................................... 97
5.6 Site faux positif ....................................................................................................................... 98
5.6 Autre .................................................................................................................................. 98
5.6 Quarantaine ........................................................................................................................... 98
5.7 Assistant d’analyse des boîtes aux lettres Microsoft 365 ............................................................ 100
5.7 Enregistrer l’analyseur ESET Mail Security ........................................................................................ 101
5.7 Annuler l’enregistrement de l’analyseur ESET Mail Security ..................................................................... 104
6 Paramètres de protection du serveur ............................................................................................ 106
6.1 Configuration de la priorité de l'agent ....................................................................................... 107
6.2 Antivirus et antispyware ......................................................................................................... 108
6.3 Protection antipourriel ............................................................................................................ 109
6.3 Filtrage et vérification .............................................................................................................. 110
6.3 Les paramètres avancés de l'antipourriel ......................................................................................... 113
6.3 Paramètres de mise en liste grise .................................................................................................. 116
6.3 SPF et DKIM ......................................................................................................................... 118
6.3 Protection contre la rétrodiffusion ................................................................................................. 120
6.3 Protection contre l’usurpation d’identité de l’expéditeur ......................................................................... 121
6.4 Protection anti-hameçonnage .................................................................................................. 123
6.5 Règles ................................................................................................................................... 124
6.5 Condition de la règle ................................................................................................................ 127
6.5 Action de la règle ................................................................................................................... 133
6.5 Exemples de règles ................................................................................................................. 136
6.6 Protection du transport de messagerie ..................................................................................... 138
5.6 Outils
5.6 Processus en cours
..................................................................................... 142
....................................................................... 142
6.7 Analyse en arrière-plan ............................................................................................................. 144
6.8 Analyse de la base de données de boîtes de courriels à la demande ............................................. 145
6.8 Analyse de la base de données de la boîte de courriels .......................................................................... 147
6.8 Analyse des boîtes aux lettres Microsoft 365 ...................................................................................... 149
6.8 Éléments de boîte de courriel supplémentaires ................................................................................... 150
6.8 Serveur mandataire ................................................................................................................ 151
6.8 Détails du compte d'analyse de la base de données .............................................................................. 151
6.9 Types de quarantaine de courriels ............................................................................................ 153
6.9 Quarantaine locale .................................................................................................................. 154
6.9 Stockage de fichiers ................................................................................................................ 155
6.9 Interface Web ....................................................................................................................... 155
6.9 Envoyer les rapports de quarantaine de courriel - tâche planifiée ............................................................... 161
6.9 Interface Web de la quarantaine de courriels pour l'utilisateur .................................................................. 162
6.9 Courriel de quarantaine et quarantaine de MS Exchange ........................................................................ 164
6.9 Paramètres du gestionnaire de quarantaine ...................................................................................... 165
6.9 Serveur mandataire ................................................................................................................ 166
6.9 Détails du compte du gestionnaire de la quarantaine ............................................................................ 166
6.10 Signature DKIM .................................................................................................................... 167
6.11 Test antivirus ....................................................................................................................... 169
6.12 Test antipourriel ................................................................................................................... 169
6.13 Test antihameçonnage .......................................................................................................... 170
7 Paramètres généraux .................................................................................................................... 170
7.1 Computer .............................................................................................................................. 171
7.1 Détection par l'apprentissage machine ............................................................................................ 173
7.1 Exclusions ........................................................................................................................... 176
7.1 Exclusions de performance ......................................................................................................... 177
7.1 Exclusions de détection ............................................................................................................ 178
7.1 Créer un assistant d'exclusion ..................................................................................................... 180
7.1 Options avancées ................................................................................................................... 180
7.1 Exclusions automatiques ........................................................................................................... 181
7.1 Une infiltration est détectée ........................................................................................................ 182
7.1 Protection en temps réel du système de fichiers .................................................................................. 183
7.1 ThreatSenseparamètres ............................................................................................................ 184
7.1 Autres ThreatSense paramètres ................................................................................................... 188
7.1 Extensions de fichier exclues de l'analyse ......................................................................................... 189
7.1 Exclusions de processus ............................................................................................................ 189
7.1 Protection basée sur le nuage ...................................................................................................... 190
7.1 Filtre d'exclusion .................................................................................................................... 192
7.1 Analyses de logiciels malveillants .................................................................................................. 193
7.1 Gestionnaire de profils .............................................................................................................. 193
7.1 Cibles du profil ...................................................................................................................... 194
7.1 Cibles à analyser .................................................................................................................... 196
7.1 Analyse à l'état inactif .............................................................................................................. 198
7.1 Analyse au démarrage .............................................................................................................. 198
7.1 Vérification automatique des fichiers de démarrage .............................................................................. 199
7.1 Supports amovibles ................................................................................................................. 200
7.1 Protection des documents .......................................................................................................... 201
7.1 Analyse Hyper-V .................................................................................................................... 201
7.1 HIPS ................................................................................................................................. 204
6.6 Paramètres avancés du transport du courriel
6.7 Protection de la base de données de messagerie
.......................................................................................................... 206
.......................................................................................................... 209
7.2 Configuration de la mise à jour ................................................................................................. 209
7.2 Annulation de la mise à jour ........................................................................................................ 213
7.2 Tâche planifiée : mise à jour ....................................................................................................... 214
7.2 Miroir de mise à jour ................................................................................................................ 214
7.3 Protection du réseau ............................................................................................................... 216
7.3 Réseaux connus .................................................................................................................... 216
7.3 Ajouter un réseau ................................................................................................................... 217
7.3 Zones ................................................................................................................................ 219
7.4 Protection contre les attaques réseau ....................................................................................... 220
7.4 Exceptions IDS ...................................................................................................................... 221
7.4 Menace suspect bloqué ............................................................................................................. 222
7.4 Liste noire temporaire des adresses IP ............................................................................................ 222
7.4 Protection contre les attaques par force brute .................................................................................... 222
7.4 Règles de Protection contre les attaques par force brute ........................................................................ 223
7.4 Exclusions de la protection contre les attaques par force brute .................................................................. 223
7.5 Web et courriel ...................................................................................................................... 224
7.5 Filtrage des protocoles ............................................................................................................. 224
7.5 Clients Web et de messagerie ...................................................................................................... 225
7.5 SSL/TLS .............................................................................................................................. 225
7.5 Liste des certificats connus ........................................................................................................ 227
7.5 Communication SSL chiffrée ....................................................................................................... 228
7.5 Protection du client de messagerie ................................................................................................ 228
7.5 Protocoles de messagerie .......................................................................................................... 230
7.5 Notifications de courriel ............................................................................................................ 230
7.5 Barre d'outils de Microsoft Outlook ................................................................................................ 231
7.5 Barre d'outils Outlook Express et Windows Mail ................................................................................... 231
7.5 Boîte de dialogue de confirmation ................................................................................................. 232
7.5 Analyser à nouveau les messages ................................................................................................. 232
7.5 Protection de l'accès Web .......................................................................................................... 232
7.5 Gestion d'adresses URL ............................................................................................................ 233
7.5 Créer une liste ...................................................................................................................... 234
7.5 Protection Web antihameçonnage ................................................................................................. 236
7.6 Contrôle de périphérique ......................................................................................................... 237
7.6 Règles de périphériques ............................................................................................................ 238
7.6 Groupes de périphériques .......................................................................................................... 240
7.7 Configuration d'outils .............................................................................................................. 242
7.7 Créneaux temporels ................................................................................................................ 242
7.7 Microsoft Windows® mise à jour ................................................................................................... 243
7.7 Analyseur de ligne de commande .................................................................................................. 243
7.7 ESET CMD ........................................................................................................................... 245
7.7 ESET RMM ........................................................................................................................... 247
7.7 Licence .............................................................................................................................. 248
7.7 Fournisseur WMI .................................................................................................................... 249
7.7 Données fournies ................................................................................................................... 249
7.7 Accès aux données fournies ........................................................................................................ 259
7.7 Cibles à analyser de la console de gestion ESET .................................................................................. 260
7.7 Mode prioritaire ..................................................................................................................... 260
7.7 Fichiers journaux .................................................................................................................... 263
7.7 Mappage d'événements Syslog .................................................................................................... 266
7.1 Paramètres de règle HIPS
7.1 Paramètres avancés HIPS
................................................................................................................
..................................................................................................................
7.7 Diagnostique ........................................................................................................................
7.7 Assistance technique ...............................................................................................................
7.7 Grappe ..............................................................................................................................
7.8 Interface utilisateur ................................................................................................................
7.8 Configuration de l'accès ............................................................................................................
7.8 ESET Shell ...........................................................................................................................
7.8 Désactiver l'interface graphique sur le serveur de terminal ......................................................................
7.8 Icône dans la zone de notification Windows .......................................................................................
7.9 Notifications ..........................................................................................................................
7.9 États de l'application ...............................................................................................................
7.9 Désactiver les messages et les états ..............................................................................................
7.9 Notifications sur le bureau .........................................................................................................
7.9 Personnalisation ....................................................................................................................
7.9 Notifications sur le bureau .........................................................................................................
7.9 Alertes interactives .................................................................................................................
7.9 Transfert ............................................................................................................................
7.10 Rétablir les paramètres par défaut .........................................................................................
7.11 Aide et assistance .................................................................................................................
7.11 Soumettre une demande d'assistance ...........................................................................................
7.11 À propos de ESET Mail Security ...................................................................................................
7.12 Glossaire .............................................................................................................................
8 Contrat de licence d'utilisateur final .............................................................................................
9 Politique de confidentialité ............................................................................................................
7.7 Serveur mandataire
7.7 Mode Présentation
268
269
269
271
271
272
273
274
275
275
276
276
277
277
278
279
279
280
282
283
284
284
284
285
292
Aperçu
ESET Mail Security pour Microsoft Exchange Server est une solution intégrée qui protège les serveurs de
messagerie et les boîtes aux lettres des utilisateurs de différents types de contenu malveillant. Cela comprend les
pièces jointes infectées par des vers ou des chevaux de Troie, les documents contenant des scripts malveillants, le
hameçonnage, le pourriel, la falsification d'expéditeur et l'usurpation d'identité par courriel.
ESET Mail Security fournit quatre types de protection : L'antivirus, l'antipourriel, l'antihameçonnage et les règles.
ESET Mail Security filtre le contenu malveillant dans les bases de données des boîtes de courriels ainsi que sur la
couche de transport du courriel avant qu'il n'arrive dans la boîte de courriels du destinataire.
ESET Mail Security prend en charge les versions 2010 et ultérieures de Microsoft Exchange Server, ainsi qu'un
serveur Microsoft Exchange dans un environnement avec grappes. Les rôles particuliers d'Exchange (boîte de
courriels, Hub, Edge) sont également pris en charge.
En plus d'offrir une protection pour Microsoft Exchange Server, ESET Mail Security inclut également une
fonctionnalité permettant de s'assurer la protection du serveur lui-même (protection en temps réel du système
de fichiers, protection du réseau, protection de l'accès Web et protection du client de messagerie).
Vous pouvez gérer ESET Mail Security à distance dans des réseaux plus larges grâce à ESET PROTECT. En outre,
ESET Mail Security vous permet de l'utiliser avec des outils de surveillance et de gestion à distance (RMM) tiers.
Caractéristiques principales
Le tableau suivant fournit une liste des fonctionnalités disponibles dans ESET Mail Security.
Produit avec un
Ajout de performances et d'une stabilité supérieures aux composants principaux du
véritable noyau 64 bits produit.
Anti-logiciel malveillant Une solution de protection primée et innovante contre les logiciels malveillants. Cette
technologie de pointe empêche les attaques et élimine tous les types de menaces, y
compris les virus, les rançongiciels, les rootkit, les vers et les logiciels espions avec une
analyse basée sur le nuage pour des taux de détection encore meilleurs. Grâce à sa
faible empreinte, il utilise peu les ressources du système et ne compromet pas ses
performances. Il utilise un modèle de sécurité en couches. Chaque couche, ou phase, a
un certain nombre de technologies de base. La phase de pré-exécution comprend des
technologies telles que l'analyseur d'UEFI, la protection contre les attaques réseau, la
réputation et le cache, le bac à sable intégré au produit et les détections d'ADN. Les
technologies de la phase d'exécution sont le bloqueur d'exploit, le bouclier contre les
rançongiciels, l'analyseur de mémoire avancé et l'analyseur de script (AMSI), et la phase
post-exécution utilise la protection contre les botnets, le système de protection contre
les logiciels malveillants dans le nuage et le bac à sable. Cet ensemble de technologies
de base riche en fonctionnalités offre un niveau de protection inégalé.
1
Antipourriel
Antipourriel est un composant essentiel pour n'importe quel serveur de messagerie.
ESET Mail Security utilise un moteur antipourriel à la pointe de la technologie qui bloque
les pourriels et les tentatives d'hameçonnage avec des taux de réussite très élevés. ESET
Mail Security a consécutivement remporté le test de filtrage de pourriel par Virus
Bulletin, une autorité de test de sécurité de premier plan et reçu la certification
VBSpam+ pendant plusieurs années. Le moteur antipourriel atteint un taux de blocage
de pourriel de 99,99 % sans aucun faux positif, ce qui en fait une technologie de pointe
en matière de protection contre le pourriel. La protection antipourriel de ESET Mail
Security intègre plusieurs technologies (RBL et DNSBL, pistage par empreinte numérique
unique, vérification de la réputation, analyse du contenu, règles, ajout manuel à la liste
blanche ou à la liste noire, protection contre la rétrodiffusion et la validation des
messages à l'aide de SPF et DKIM) pour détecter le plus grand nombre possible de
menaces. ESET Mail Security Antipourriel est basé sur le nuage et la plupart des bases
de données infonuagiques sont situées dans les centres de données d'ESET. Les services
antipouriels sur le nuage permettent la mise à jour rapide des données, ce qui accélère
le temps de réaction en cas d'apparition de nouveaux pourriels.
Protection antihameçonnage
Fonctionnalité qui empêche les utilisateurs d'accéder à des pages Web connues comme
hameçons. Dans le cas des courriels contenant des liens menant à des pages Web
d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui effectue des
recherches dans le corps et dans l'objet des courriels entrants afin d'identifier ces liens
(URL). Les liens sont comparés à la base de données d'hameçons.
Règles
Les règles permettent aux administrateurs de filtrer les courriels non désirés et les
pièces jointes en fonction de la stratégie de l'entreprise. Les pièces jointes telles que les
fichiers exécutables, les fichiers multimédias, les archives protégées par mot de
passe, etc. Différentes actions peuvent être effectuées avec les courriels filtrés et leurs
pièces jointes, telles que la mise en quarantaine, la suppression, l’envoi de notifications
ou l’inscription au journal des événements.
Exporter vers le serveur Permet de dupliquer le contenu du journal de protection du serveur de messagerie sur
syslog (Arcsight)
le serveur syslog au format Common Event Format (CEF) pour l'utiliser avec des
solutions de gestion de journaux telles que Micro Focus ArcSight. Les événements
peuvent être transmis à ArcSight par le biais de SmartConnector ou exportés dans des
fichiers. Cela permet de centraliser facilement la surveillance et la gestion des
événements de sécurité. Vous pouvez profiter de cette fonctionnalité surtout si vous
avez une infrastructure complexe avec un grand nombre de serveurs Microsoft
Exchange avec la solution ESET Mail Security.
Analyse de la boîte de
courriels d'Office 365
Pour les entreprises qui utilisent un environnement Exchange hybride, il est possible
d'analyser les boites de courriels dans le nuage.
ESET LiveGuard
Advanced
Service infonuagique d'ESET. Lorsque ESET Mail Security considère un courriel comme
suspect, il est temporairement mis dans la quarantaine de ESET LiveGuard Advanced. Un
courriel suspect est automatiquement envoyé au serveur de ESET LiveGuard Advanced
qui l'analyse à l'aide de moteurs de détection de logiciels malveillants de pointe. ESET
Mail Security reçoit alors un résultat de l'analyse. Le courriel suspect est traité en
fonction du résultat.
Gestionnaire de la
quarantaine de
courriels avec interface
Web
L'administrateur peut inspecter des objets mis en quarantaine et décider de les
supprimer ou de les libérer. Cette fonction offre un outil de gestion facile à utiliser.
L'interface web de quarantaine permet la gestion à distance du contenu. Il est possible
de choisir ses administrateurs et/ou de déléguer l'accès. En outre, les utilisateurs
peuvent afficher et gérer leurs propres pourriels après s'être connectés à l'interface
Web de la fonction de mise en quarantaine des messages, en ayant accès uniquement à
leurs courriels.
Rapports sur la mise en Les rapports de mise en quarantaine sont des courriels envoyés à des utilisateurs
quarantaine des
sélectionnés afin de les informer au sujet des courriels mis en quarantaine. Il leur
courriels
permet également de gérer à distance le contenu mis en quarantaine.
2
Analyse de la base de L'analyse à la demande de la base de données des boîtes de courriels donne aux
données de boîtes de administrateurs la possibilité d'analyser manuellement certaines boîtes de courriels ou
courriels à la demande de programmer l'analyse en dehors des heures de travail. L'analyseur de la base de
données des boîtes de courriels utilise l'API EWS (Exchange Web Services) pour se
connecter à Microsoft Exchange Server par l'entremise du protocole HTTP/HTTPS. De
plus, l'analyseur utilise une analyse parallèle pendant le processus d'analyse afin
d'améliorer la performance.
Grappe ESET
La grappe ESET permet de gérer plusieurs serveurs à partir d'un seul endroit. Comme
avec ESET File Security pour Microsoft Windows Server, il est possible de faciliter la
gestion grâce à la capacité de distribuer une configuration parmi tous les membres de la
grappe en reliant les nœuds de serveur à la grappe. La grappe ESET peut également être
utilisé pour synchroniser les bases de données grises et le contenu de la quarantaine de
courriel local.
Exclusions de processus Exclut des processus spécifiques de l'analyse anti-logiciel malveillant à l'accès. L'analyse
à l'accès anti-logiciels malveillants peut provoquer des conflits dans certaines situations,
par exemple lors d'un processus de sauvegarde ou de migrations en direct de machines
virtuelles. La fonctionnalité d'exclusion des processus aide à minimiser le risque de
conflits potentiels et améliore la performance des applications exclues, ce qui a par la
suite un effet positif sur la performance générale et la stabilité du système
d'exploitation. L'exclusion d'un processus ou d'une application est une exclusion de son
fichier exécutable (.exe).
eShell ESET Shell
eShell 2.0 est maintenant offert dans ESET Mail Security. eShell est une interface de
ligne de commande qui offre aux utilisateurs avancés et aux administrateurs des options
plus complètes pour gérer les produits ESET.
ESET PROTECT
Une meilleure intégration avec ESET PROTECT incluant la possibilité de planifier diverses
tâches. Pour plus de renseignements, consultez l'aide en ligne de ESET PROTECT .
Installation basée sur le L'installation peut être personnalisée pour ne contenir que des parties sélectionnées du
composant
produit.
Protection contre
Une nouvelle fonctionnalité qui protège contre une pratique courante consistant à
l’usurpation d’identité usurper les informations de l’expéditeur d’un courriel appelée mystification de
de l’expéditeur
l’expéditeur. Il est peu probable que le destinataire du courriel distingue un expéditeur
valide d’un expéditeur mystifié, car le courriel apparaît habituellement comme s’il avait
été envoyé à partir d’une source légitime. Vous pouvez activer et configurer la
protection contre la mystification de l’expéditeur dans la configuration avancée ou créer
des règles personnalisées.
Signature DKIM
ESET Mail Security fournit une fonctionnalité de signature DKIM pour améliorer encore
la sécurité des courriels sortants. Sélectionnez le certificat client et spécifiez quels entêtes de courriel sont signés avec la signature DKIM. Vous pouvez configurer la signature
DKIM pour chaque domaine séparément et pour plusieurs domaines.
Nouveautés
Nouvelles fonctionnalités et améliorations dans ESET Mail Security :
• Produit avec un véritable noyau 64 bits
• Analyse de la boîte de courriels d'Office 365
• Protection anti-hameçonnage des courriels
• Protection contre la rétrodiffusion
3
• Rapports de mise en quarantaine de courriels pour l'administrateur
• Synchronisation de la quarantaine du courriel local sur la grappe ESET
• Journalisation de la protection SMTP
• ESET LiveGuard Advanced
• ESET Inspect assistance
• ESET RMM
• Exporter vers le serveur syslog (Arcsight)
• Isolement réseau
• Détection par l'apprentissage machine
• Journaux d'audit
• mises à jour des composants du microprogramme
• Protection contre l’usurpation d’identité de l’expéditeur
• Signature DKIM
• Analyse des boîtes aux lettres Microsoft 365
Reportez-vous au journal des modifications détaillé pour ESET Mail Security.
Flux de courriels
Le diagramme suivant illustre le flux de courriels dans Microsoft Exchange Server et ESET Mail Security. Pour plus
d’informations sur l’utilisation de ESET LiveGuard Advanced avec ESET Mail Security, consultez les pages d'aide en
ligne de ESET LiveGuard Advanced.
4
Caractéristiques de ESET Mail Security et rôles du
serveur Exchange
Le tableau suivant vous permet de reconnaitre les fonctionnalités disponibles ainsi que leurs rôles pour chaque
version prise en charge de Microsoft Exchange Server. L'assistant d'installation de ESET Mail Security vérifie votre
environnement lors de l'installation et une fois installé, ESET Mail Security affiche ses fonctionnalités en fonction
de la version détectée de votre serveur Exchange et de ses rôles.
Rôles et version du
serveur Exchange
Protection
antipourriel
Protection antihameçonnage
Analyse de
Protection la base de Protection
du transport données de de la base de
Règles
de
boîtes de données de
messagerie courriels à messagerie
la demande
Microsoft Exchange Server
✓
2010 (plusieurs rôles)
✓
✓
✓
✓
✓
Microsoft Exchange Server
✓
2010(Edge)
✓
✓
✓
✗
✗
Microsoft Exchange Server
✓
2010 (Hub)
✓
✓
✓
✓
✗
Microsoft Exchange Server
✗
2010 (Boîte de courriel)
✓
✓
✗
✓
✓
5
Rôles et version du
serveur Exchange
Protection
antipourriel
Protection antihameçonnage
Analyse de
Protection la base de Protection
du transport données de de la base de
Règles
de
boîtes de données de
messagerie courriels à messagerie
la demande
Microsoft Exchange Server
✓
2013 (plusieurs rôles)
✓
✓
✓
✓
✗
Microsoft Exchange Server
✓
2013(Edge)
✓
✓
✓
✗
✗
Microsoft Exchange Server
✓
2013 (Boîte de courriel)
✓
✓
✓
✓
✗
Microsoft Exchange Server
✓
2016 (Edge)
✓
✓
✓
✗
✗
Microsoft Exchange Server
✓
2016 (Boîte de courriel)
✓
✓
✓
✓
✗
Microsoft Exchange Server
✓
2019(Edge)
✓
✓
✓
✗
✗
Microsoft Exchange Server
✓
2019 (Boîte de courriel)
✓
✓
✓
✓
✗
Rôles du serveur Exchange
Comparaison entre le rôle Edge et le rôle Hub
Les fonctionnalités antipourriel d'Edge Transport et de Hub Transport Servers sont désactivées par défaut. Ceci
est la configuration désirée dans une organisation Exchange avec un serveur Edge Transport. Il est recommandé
que le serveur de Transport Edge exécutant la protection antipourriel de ESET Mail Security soit configuré afin de
filtrer les messages avant qu'ils ne soient acheminés vers l'organisation Exchange.
Le rôle Edge est le meilleur choix pour l'analyse antipourriel, parce qu'il permet à ESET Mail Security de rejeter le
pourriel tôt dans le processus sans charger inutilement les couches du réseau. Grâce à cette configuration, les
messages entrants seront filtrés par ESET Mail Security sur le serveur Transport Edge pour qu'ainsi, ils puissent
être déplacés vers le serveur Transport Hub sans devoir être filtrés de nouveau.
Supposons que votre organisation n’utilise pas de serveur de transport Edge et dispose uniquement d’un serveur
de transport Hub. Dans ce cas, nous vous recommandons d’activer les fonctionnalités antipourriel sur le serveur
de transport Hub qui reçoit des messages entrants d’Internet via SMTP.
En raison de certaines restrictions techniques de Microsoft Exchange Server 2010 et des versions plus
récentes, ESET Mail Security ne prend pas en charge le déploiement de Microsoft Exchange Server avec
uniquement le rôle Client Access Server (CAS) (Client Access Server autonome).
Modules de protection
Les modules de protection suivants font partie des principales fonctionnalités de ESET Mail Security :
Antivirus
6
La protection antivirus est l'une des fonctions de base de ESET Mail Security. La protection antivirus protège le
système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier, ainsi que les
communications Internet. Si une menace impliquant un programme malveillant est détectée, le module Antivirus
peut alors l'éliminer en la bloquant, puis en nettoyant, en supprimant ou en mettant en Quarantaine l'objet
infecté.
Antipourriel
La protection antipourriel intègre plusieurs technologies (RBL, DNSBL, pistage par empreinte numérique unique,
vérification de la réputation, analyse du contenu, règles, ajout manuel à la liste blanche et à la liste noire, etc.)
pour détecter le plus grand nombre possible de menaces par courriel.
La fonctionnalité antipourriel de ESET Mail Security est basée sur le nuage et la plupart des bases de données
infonuagiques sont situées dans les centres de données d'ESET. Les services antipouriels sur le nuage permettent
la mise à jour rapide des données, ce qui accélère le temps de réaction en cas d'apparition de nouveaux pourriels.
Il permet également de supprimer des données incorrectes ou fausses des listes noires d'ESET. La communication
avec le service antipourriel infonuagique s'effectue à l'aide d'un protocole propriétaire sur le port 53535, dans la
mesure du possible. S'il n'est pas possible de communiquer à l'aide du protocole d'ESET, les services DNS sont
utilisés à la place (port 53). Cependant, l'utilisation du DNS n'est pas aussi efficace, car elle nécessite l'envoi de
plusieurs demandes lors du processus de classification en pourriel d'un seul courriel.
Nous vous recommandons d'ouvrir le port TCP/UDP 53535 pour les adresses IP répertoriées dans cet article
de la base de connaissances. Ce port est utilisé par ESET Mail Security pour envoyer des requêtes.
Normalement, aucun courriel ni aucune de leurs parties ne sont envoyés pendant le processus de classification en
pourriel. Toutefois, supposons que ESET LiveGrid® soit activé et que vous ayez explicitement autorisé l’envoi
d’échantillons pour analyse. Dans ce cas, seuls les messages marqués comme étant des pourriels (ou très
probablement des pourriels) peuvent être envoyés pour faciliter une analyse approfondie et l’amélioration de la
base de données infonuagique.
Si vous souhaitez signaler un faux positif ou un faux négatif dans la classification d'un pourriel, consultez notre
article de la base de connaissances pour plus de détails.
De plus, ESET Mail Security peut aussi utiliser la méthode de la liste grise (désactivée par défaut) pour le filtrage
de pourriels.
Antihameçonnage
ESET Mail Security comprend une protection antihameçonnage qui empêche les utilisateurs d'accéder à des pages
Web connues comme hameçons. Dans le cas des courriels contenant des liens menant à des pages Web
d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui effectue des recherches dans le corps et
dans l'objet des courriels entrants afin de répérer ces liens (URL). Les liens sont comparés à la base de données
d'hameçons et les règles ayant la condition Corps de message sont évaluées.
Règles
La disponibilité des règles pour la protection de base de données de boîtes de courriels, l'analyse de la base de
données de boîtes de courriels à la demande et la protection du transport du courriel dans votre système dépend
de la version de Microsoft Exchange Server installée sur le serveur avec ESET Mail Security.
Les règles permettent de définir manuellement les conditions de filtrage des courriels et les actions à
entreprendre pour les courriels filtrés. Il existe différents ensembles de conditions et d'actions. Vous pouvez créer
des règles individuelles pouvant aussi être combinées. Si une règle utilise plusieurs conditions, ces conditions
seront liées à l'aide de l'opérateur logique ET. Par conséquent, la règle ne sera exécutée que si toutes les
conditions sont remplies. Si plusieurs règles sont crées, l'opérateur logique OU sera appliqué, ce qui signifie que le
programme exécutera la première règle auxquelles satisfont les conditions.
La première technique utilisée dans la séquence d’analyse est l’ajout à la liste grise si cette option est activée. Les
procédures suivantes exécuteront toujours les techniques suivantes : protection basée sur des règles définies par
l'utilisateur, suivie d'une analyse antivirus et, en dernier lieu, de l'analyse antipourriel.
7
Sécurité multicouche
ESET Mail Security offre une protection complexe à différents niveaux :
• Protection de la base de données de messagerie
• Protection du transport de messagerie
• Analyse de la base de données de boîtes de courriels à la demande
• L’analyse de base de données de boîtes aux lettres Microsoft 365
Pour une vue complète, consultez la matrice des fonctionnalités de ESET Mail Security et des versions de
Microsoft Exchange Server ainsi que leurs rôles.
Protection de la base de données de la boîte de courriel
Le processus d'analyse des boîtes aux lettres est déclenché et contrôlé par le serveur Microsoft Exchange. Les
messages conservés dans la base de données du magasin Microsoft Exchange Server sont continuellement
analysés. Le processus d'analyse peut être déclenché par l'une des situations suivantes, en fonction de la version
de Microsoft Exchange Server et de l'interface VSAPI utilisées et des paramètres définis par l'utilisateur :
• Lorsque l'utilisateur accède à son courriel, par exemple, dans un client de messagerie (le courriel est
toujours analysé à l'aide du moteur de détection le plus récent).
• En arrière-plan, lorsque le taux d'utilisation de Microsoft Exchange Server est bas.
• De façon proactive (en fonction de l'algorithme interne de Microsoft Exchange Server).
La protection de la base de données de la boîte de courriels n'est pas disponible avec Microsoft Exchange
Server 2013, 2016 et 2019.
L'analyse de la base de données de boîtes de courriels à la demande est disponible pour les systèmes suivants :
Rôles et version du Protection
serveur Exchange antipourriel
Protection antihameçonnage
Analyse de la
base de
Protection du
données de
Règles transport de
boîtes de
messagerie
courriels à la
demande
Protection de
la base de
données de
messagerie
Microsoft Exchange
Server 2010 (Boîte ✗
de courriel)
✓
✓
✗
✓
✓
Microsoft Exchange
✓
Server 2010
(plusieurs rôles)
✓
✓
✓
✓
✓
Ce type d'analyse peut être exécuté en une seule installation du serveur avec plusieurs rôles Exchange Server sur
un seul ordinateur (tant qu'elle inclut le rôle Boîte de messagerie ou le rôle Serveur dorsal).
8
Protection du transport de messagerie
Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans Microsoft Exchange Server 2010
et 2010, le module d'extension est plutôt enregistré comme un agent de transport selon les rôles Edge ou Hub de
Microsoft Exchange Server.
Le filtrage SMTP au niveau du serveur effectué par un agent de transport offre une protection antivirus,
antipourriel et en fonction des règles définies par l'utilisateur. Contrairement au filtrage VSAPI, le filtrage au
niveau du serveur SMTP est effectué avant que le courriel analysé ne soit reçu dans la boîte de messagerie
Microsoft Exchange Server.
Anciennement connue sous l'appellation Filtrage des messages au niveau du serveur SMTP. Cette protection est
fournie par l'agent de transport et est offerte seulement avec Microsoft Exchange Server 2010 ou des versions
ultérieures fonctionnant dans le rôle Edge Transport Server ou Hub Transport Server. Ce type d'analyse peut être
exécuté en une seule installation du serveur avec plusieurs rôles Exchange Server sur un seul ordinateur (tant
qu'elle inclut l'un des rôles de serveur mentionnés).
La protection du transport du courriel est disponible pour les systèmes suivants :
Rôles et version du
serveur Exchange
Protection
antipourriel
Protection antihameçonnage
Analyse de
Protection la base de Protection de
du transport données de la base de
Règles
de
boîtes de données de
messagerie courriels à messagerie
la demande
Microsoft Exchange
Server 2010 (plusieurs
rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2013 (plusieurs
rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2013(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2013 (Boîte de
courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2016 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2016 (Boîte de
courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2019(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2019 (Boîte de
courriel)
✓
✓
✓
✓
✓
✗
9
Analyse de la base de données de boîtes de courriels à
la demande
Permet d'exécuter ou de planifier une analyse de la base de données de la boîte de courriels Exchange. Cette
fonctionnalité est seulement offerte avec Microsoft Exchange Server 2010 ou versions ultérieures fonctionnant
dans le rôle Serveur de la boîte de messagerie ou Hub Transport. Cela s'applique aussi lors de l'installation d'un
seul serveur avec plusieurs rôles Exchange Server sur un seul ordinateur (tant qu'elle inclut l'un des rôles de
serveur mentionnés).
Les types de systèmes suivants permettent l'analyse de la base de données de boîtes de courriels à la demande :
Rôles et version du
serveur Exchange
Protection
antipourriel
Protection antihameçonnage
Analyse de
Protection
la base de Protection de
du transport données de la base de
Règles
de
boîtes de
données de
messagerie courriels à la messagerie
demande
Microsoft Exchange
Server 2010 (plusieurs
rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2010 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2010 (Boîte de
courriel)
✗
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2013 (plusieurs
rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2013 (Boîte de
courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2016 (Boîte de
courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2019 (Boîte de
courriel)
✓
✓
✓
✓
✓
✗
L’analyse de base de données de boîtes aux lettres
Microsoft 365
ESET Mail Security fournit des fonctionnalités d'analyse pour les environnements hybrides Microsoft 365. Cette
option est disponible et visible dans ESET Mail Security uniquement si vous disposez d'un environnement
Exchange hybride (sur site et dans le nuage). Les deux scénarios de routage sont pris en charge par Exchange
Online ou par l'organisation sur site. Pour plus de détails, consultez la section Routage de transport dans les
déploiements hybrides Exchange.
10
Pour activer cette fonctionnalité, enregistrez l’analyseur ESET Mail Security.
Vous pouvez analyser les boîtes de courriels distantes et les dossiers publics Microsoft 365 comme vous le feriez
avec l'analyse de la base de données de boîtes de courriels à la demande classique.
L'exécution d'une analyse complète de la base de données de courriels dans de grands environnements peut
entraîner des charges indésirables sur le système. Pour éviter ce problème, exécutez une analyse sur des bases de
données ou des boîtes de courriel spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre de
temps en haut de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, sélectionnez plutôt
Analyser les messages modifiés au cours de la dernière semaine.
Nous vous recommandons de configurer Microsoft 365. Appuyez sur la touche F5 et cliquez sur Serveur > Analyse
de la base de données de la boîte aux lettres à la demande. Consultez également Détails du compte d'analyse de
la base de données.
Pour voir l'activité de l'analyse des boîtes aux lettres Office 365, accédez à Fichiers journaux > Analyse de la base
de données de la boîte aux lettres.
Exigences système
Systèmes d'exploitation pris en charge :
• Microsoft Windows Server 2022 (Expérience Server Core et Desktop)
• Microsoft Windows Server 2019 (Expérience Server Core et Desktop)
11
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2012
Versions de Microsoft Exchange Server prises en charge :
• Microsoft Exchange Server 2019 jusqu'à CU13
• Microsoft Exchange Server 2016 jusqu'à CU23
• Microsoft Exchange Server 2013 jusqu'à CU23 (CU1 et CU4 ne sont pas pris en charge)
• Microsoft Exchange Server 2010 SP1, SP2, SP3 jusqu'à RU32
Le rôle de serveur d’accès au client autonome (CAS) n’est pas pris en charge, consultez la rubrique Rôles du
serveur Exchange pour plus de détails.
Nous vous recommandons de consulter les fonctionnalités de ESET Mail Security et les rôles de serveur
Exchange pour identifier les fonctionnalités disponibles pour chaque version prise en charge de Microsoft
Exchange Server et leurs rôles.
Configuration matérielle minimale requise :
Composant
Configuration requise
Processeur
Intel ou AMD un cœur x64
Mémoire
256 Mo de mémoire libre
Disque dur
700 Mo d'espace disque libre
Résolution d'écran 800 x 600 pixels ou plus
ESET Mail Security possède la même configuration requise recommandée applicable à Microsoft Exchange Server.
Consultez les articles techniques Microsoft suivants pour plus de détails :
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Nous vous recommandons fortement d'installer le dernier ensemble de modifications provisoires pour
votre système d'exploitation Microsoft Server et l'application avant d'installer le produit de sécurité ESET. Il
est recommandé d’installer les dernières mises à jour et les correctifs les plus récents de Windows dès
qu’ils sont disponibles.
Préparation à l'installation
Nous vous recommandons d'effectuer les étapes suivantes pour préparer l'installation du produit :
• Après l'achat de ESET Mail Security, téléchargez le fichier d'installation .msi sur le site Web d'ESET .
• Assurez-vous que le serveur sur lequel vous prévoyez d'installer ESET Mail Security répond aux exigences
12
du système.
• Connectez-vous au serveur à l'aide d'un compte administrateur.
• Si vous souhaitez effectuer une mise à niveau à partir d'une installation existante de ESET Mail Security,
nous vous recommandons de sauvegarder sa configuration actuelle à l'aide de la fonction Paramètres
d'exportation.
• Supprimez/désinstallez tout logiciel antivirus tiers de votre système, le cas échéant. Nous vous
recommandons d'utiliser ESET AV Remover . Pour obtenir une liste de logiciels antivirus tiers qui peuvent
être supprimés à l'aide d'ESET AV Remover, voir cet article de la Base de connaissances.
• Si vous effectuez l'installation de ESET Mail Security sur Windows Server 2016, Microsoft recommande de
désinstaller les fonctionnalités de Windows Defender et d'annuler l'inscription ATP Windows Defender pour
éviter les problèmes liés à l'installation de plusieurs produits antivirus sur une machine.
• Si vous effectuez l'installation de ESET Mail Security sur Windows Server 2019 ou Windows Server 2022,
Microsoft recommande de mettre Windows Defender en mode passif pour éviter les problèmes liés à
l'installation de multiples produits antivirus sur une machine.
Si les fonctionnalités de Windows Defender sont présentes sur votre Windows Server 2016, 2019 ou 2022
pendant l'installation de ESET Mail Security, elles sont désactivées par ESET Mail Security pour éviter les
collisions de protection en temps réel entre plusieurs produits antivirus. De plus, les fonctionnalités de
Windows Defender sont désactivées par ESET Mail Security à chaque démarrage/redémarrage du système.
Il existe une exception à cette règle : si vous effectuez une installation de composant sans le composant de
protection en temps réel du système de fichiers, les fonctionnalités de Windows Defender sur Windows
Server 2016 ne sont pas désactivées.
• Pour une vue complète, consultez la matrice des fonctionnalités de ESET Mail Security et des versions de
Microsoft Exchange Server ainsi que leurs rôles.
• Vous pouvez vérifier le nombre de boîtes de courriels en exécutant l'outil Nombre de boîtes de courriels;
consultez notre article de la base de connaissances pour plus de détails. Une fois que votre ESET Mail
Security est installé, il affiche le nombre actuel de boîtes de courriels au bas de la fenêtre de surveillance.
Il existe deux mode d'exécution pour le programme d'installation de ESET Mail Security :
• Fenêtre principale de programme : L'installation recommandée est celle effectuée avec l'assistant
d'installation.
• Installation silencieuse/sans surveillance : En plus de l'assistant d'installation, vous pouvez choisir
d'installer ESET Mail Security silencieusement en utilisant la ligne de commande.
• Mise à jour de la dernière version : Si vous utilisez une version antérieure de ESET Mail Security, vous
pouvez choisir la méthode de mise à niveau adaptée.
Une fois que vous avez installé ou mis à niveau votre ESET Mail Security, vous pouvez effectuer les activités
suivantes :
Activation du produit
Les scénarios d'activation disponibles dans la fenêtre d'activation peuvent varier selon le pays et les moyens de
distribution.
13
Tâches post-installation
Consultez la liste des tâches recommandées que vous pouvez effectuer après une installation réussie de ESET Mail
Security.
Configuration des paramètres généraux
Vous pouvez affiner votre configuration de ESET Mail Security en modifiant les paramètres avancés de chaque
fonctionnalité.
Étapes d'installation de ESET Mail Security
Voici une fenêtre principale typique de l'assistant d'installation. Double cliquez sur le paquet .msi et suivez les
étapes indiquées pour installer ESET Mail Security :
1. Cliquez sur Suivant pour continuer ou sur Annuler si vous souhaitez quitter l'installation.
2. L'assistant d'installation s'exécute dans la langue définie par l'option Lieu de résidence du paramètre
Région > Emplacement de votre système d'exploitation (ou Emplacement actuel du paramètre Région et
Langue > Emplacement dans les anciens systèmes). Sélectionnez la Langue du produit dans laquelle ESET Mail
Security sera installé dans le menu déroulant. La langue sélectionnée pour ESET Mail Security est
indépendante de la langue dans laquelle s'affiche l'assistant d'installation.
3. Cliquez sur Suivant pour afficher le contrat de licence de l’utilisateur final. Après avoir confirmé votre
acceptation du Contrat de licence de l’utilisateur final ainsi que de la politique de confidentialité, cliquez sur
Suivant.
14
4. Choisissez l'un des types d'installation disponibles. Les types d'installation disponibles dépendent de votre
système d'exploitation.
Complète
Permet d'installer toutes les fonctionnalités de ESET Mail Security.
Le programme d'installation ne contient que les modules essentiels; tous les autres modules sont
téléchargés lors de la mise à jour initiale des modules après l'activation du produit.
Dans le cas où vous planifiez utiliser use Quarantaine locale pour les courriels et que vous ne voulez pas
stocker les fichiers de courriel mis en quarantaine sur votre C: lecteur, remplacez le chemin d'accès du
Dossier de données par le lecteur et l'emplacement de votre choix. Cependant, rappelez-vous que tous les
fichiers de données ESET Mail Security seront stockés à cet emplacement.
15
Personnalisé
L'installation personnalisée vous permet de choisir les fonctionnalités de ESET Mail Security qui seront installées
sur votre système. Une liste des modules et des fonctions du produit s'affiche avant le début de l'installation.
Cette option est utile lorsque vous voulez personnaliser ESET Mail Security en choisissant seulement les
composants dont vous avez besoin.
5. Vous êtes invité à sélectionner l’emplacement où vous allez installer ESET Mail Security. Le programme
16
s'installe par défaut dans C:\Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour changer la
destination (cette option n'est pas recommandée).
6. Cliquez sur Installer pour commencer l'installation. Après l’installation, vous êtes invité à activer ESET Mail
Security.
Exporter les paramètres ou supprimer l'installation
Vous pouvez exporter et enregistrer les paramètres ou supprimer l’installation. Pour ce faire, vous pouvez
exécuter le progiciel d'installation .msi utilisé lors de l'installation initiale ou accéder à Programmes et
fonctionnalités (accessible à partir du Panneau de configuration Windows). Cliquez à l'aide du bouton droit de la
souris sur ESET Mail Security et sélectionnez Modifier.
Vous pouvez exporter les paramètres de votre ESET Mail Security ou supprimer (désinstaller) complètement ESET
Mail Security.
17
Mise à jour initiale des modules
Afin de réduire le trafic réseau lié à la taille du programme d'installation et d'économiser les ressources, le
programme d'installation ne contient que les modules essentiels. Tous les autres modules seront téléchargés
pendant la mise à jour initiale du module après l’activation du produit. Il est surtout avantageux d'avoir un
programme d'installation nettement plus petit; ESET Mail Security ne télécharge alors que les derniers modules
d'application lorsque vous activez le produit.
Le programme d'installation du module minimal contient les modules ci-après :
• Loaders
• Prise en charge d'Anti-Stealth
• Communication Direct Cloud
• Prise en charge de la traduction
• Configuration
• SSL
Après l'activation du produit, l'option Initialisation de l'état de la protection s'affiche et vous informe de
l'initialisation des fonctionnalités.
18
En cas de problème de téléchargement des modules (par exemple, aucune connexion réseau, aucun parefeu ou aucun paramètre de mandataire), un avertissement Attention requise s’affiche.
Cliquez sur Mises à jour > Vérifier les mises à jour dans la fenêtre principale du programme pour
recommencer le processus de mise à jour.
Après plusieurs tentatives infructueuses, l'état de l'application Échec de la configuration de la protection
s'affiche en rouge. Si vous ne pouvez pas mettre à jour les modules, téléchargez le programme
d’installation complet .msi de ESET Mail Security.
Si votre serveur ne dispose pas d'une connexion Internet et qu'il a besoin de mises à jour, utilisez les méthodes
suivantes pour télécharger les fichiers du module de mise à jour depuis les serveurs de mise à jour ESET :
• Mettre à jour à partir du miroir
• Utilisation de Mirror Tool
Installation si licencieuse / sans assistance
Exécutez la commande suivante pour terminer l'installation en utilisant la ligne de commande : msiexec /i
<packagename> /qn /l*xv msi.log
Utilisez l’Observateur d’événements de Windows pour vérifier le journal des applications (recherchez les
enregistrements de la source : MsiInstaller) pour vous assurer que l’installation a réussi ou pour examiner tout
problème d’installation.
19
Installation complète sur un système 64 bits :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,SysInspector,SysRescue,Rmm,eula
Lorsque l’installation est terminé, l’IUG ESET démarre et l’icône s’affiche dans la zone de notification Windows
Installation du produit dans la langue spécifiée (par exemple, allemand) :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,^
SysInspector,SysRescue,Rmm,eula PRODUCT_LANG=1031 PRODUCT_LANG_CODE=de-de
Reportez-vous à la rubrique Paramètres de langue dans la rubrique Installation à partir de la ligne de
commande pour plus de détails et pour afficher la liste des codes de langue.
Lorsque vous spécifiez des valeurs pour le paramètre REINSTALL, vous devez répertorier le reste des
fonctionnalités qui ne sont pas utilisées comme valeurs pour les paramètres ADDLOCAL ou REMOVE. Il est
nécessaire que l'installation par ligne de commande s'exécute correctement pour que vous répertoriez
toutes les fonctionnalités en tant que valeurs pour les paramètresREINSTALL, ADDLOCAL et REMOVE.
L'ajout ou la suppression peut ne pas aboutir si vous n'utilisez pas le paramètre REINSTALL.
Consultez la section Installation par ligne de commande pour la liste complète des fonctionnalités.
Désinstallation complète sur un système 64 bits :
msiexec /x emsx_nt64.msi /qn /l*xv msi.log
Après une désinstallation réussie, votre serveur redémarre automatiquement.
Installation de la ligne de commande
Les paramètres suivants devraient être utilisés uniquement avec les niveaux d'interface utilisateur Réduit, Basic
et Aucun. Consultez la documentation pour la version msiexec utilisée pour les commutateurs de ligne de
commande appropriés.
Paramètres pris en charge :
APPDIR=<path>
• path - Chemin de répertoire valide
• Répertoire d'installation de l'application
• Par exemple : emsx_nt64.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection
APPDATADIR=<path>
• path - Chemin de répertoire valide
• Répertoire d'installation des données de l'application
MODULEDIR=<path>
• path - Chemin de répertoire valide
• Répertoire d'installation du module
20
.
ADDLOCAL=<list>
• Installation du composant - liste des fonctionnalités non-obligatoires à installer localement.
• Utilisation avec les paquets .msi d'ESET : emsx_nt64.msi /qn ADDLOCAL=<list>
• Pour en savoir plus sur la propriété ADDLOCAL, consultez
https://docs.microsoft.com/en-gb/windows/desktop/Msi/addlocal
• ADDLOCAL est une liste de toutes les fonctionnalités qui seront installées séparées par des virgules.
• Lors de la sélection d'une fonctionnalité à installer, le chemin complet (c'est-à-dire toutes ses
fonctionnalités parentes) doit être explicitement inclus dans la liste.
REMOVE=<list>
• Installation du composant - fonction parente que vous ne souhaitez pas installer localement.
• Utilisation avec les paquets .msi d'ESET : emsx_nt64.msi /qn REMOVE=<list>
• Pour en savoir plus sur la propriété REMOVE,
consultezhttps://docs.microsoft.com/en-gb/windows/desktop/Msi/remove
• La liste REMOVE est une liste de fonctions parents séparées par des virgules qui ne seront pas installées (ou
seront supprimées en cas d'installation existante).
• Il suffit de préciser la caractéristique du parent uniquement. Il n'est pas nécessaire d'inclure explicitement
chaque fonction enfant dans la liste.
ADDEXCLUDE=<list>
• La liste ADDEXCLUDE est une liste de tous les noms de fonctionnalités à ne pas installer, séparés par des
virgules.
• Lors de la sélection d'une fonctionnalité à ne pas installer, le chemin complet (c'est-à-dire toutes ses sousfonctionnalités) et les fonctionnalités invisibles associées doivent être explicitement inclus dans la liste.
• Par exemple : emsx_nt64.msi /qn ADDEXCLUDE=<list>
ADDEXCLUDE ne peut pas être utilisée avec ADDLOCAL.
Présence de la fonctionnalité
• Obligatoire - La fonctionnalité est toujours installée.
• Facultative - La fonctionnalité peut être désélectionnée lors de l'installation.
• Invisible - Fonctionnalité logique obligatoire pour que les autres fonctionnalités s'exécutent correctement.
Liste des fonctionnalités de ESET Mail Security :
Les noms de toutes les fonctionnalités sont sensibles à la casse, par exemple RealtimeProtection n'est
pas égal à REALTIMEPROTECTION.
21
Nom de la fonctionnalité
Présence de la fonctionnalité
SERVER
Obligatoire
RealtimeProtection
Obligatoire
MAILSERVER
Obligatoire
WMIProvider
Obligatoire
HIPS
Obligatoire
Updater
Obligatoire
eShell
Obligatoire
UpdateMirror
Obligatoire
DeviceControl
Facultative
DocumentProtection
Facultative
WebAndEmail
Facultative
ProtocolFiltering
Invisible
NetworkProtection
Facultative
IdsAndBotnetProtection Facultative
Rmm
Facultative
WebAccessProtection
Facultative
EmailClientProtection
Facultative
MailPlugins
Invisible
Cluster
Facultative
_Base
eula
ShellExt
Facultative
_FeaturesCore
GraphicUserInterface
Facultative
SysInspector
Facultative
SysRescue
Facultative
EnterpriseInspector
Facultative
Si vous souhaitez supprimer l'une des fonctionnalités suivantes, vous devez supprimer tout le groupe en
spécifiant chaque fonctionnalité appartenant au groupe. Dans le cas contraire, la caractéristique ne sera pas
supprimée. Voici deux groupes (chaque ligne représente un groupe) :
GraphicUserInterface,ShellExt
NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailP
lugins,EmailClientProtection
22
Excluez la section NetworkProtection (y compris les fonctionnalités enfants) de l'installation à l'aide du paramètre REMOVE et en
spécifiant uniquement la fonctionnalité parent :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=ALL REMOVE=NetworkProtection
Vous pouvez également utiliser le paramètre ADDEXCLUDE, mais vous devez également spécifier toutes les fonctionnalités enfants :
msiexec /i emsx_nt64.msi /qn ADDEXCLUDE=NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,^
ProtocolFiltering,MailPlugins,EmailClientProtection
Si vous souhaitez que votre ESET Mail Security soit automatiquement configuré après l'installation, vous pouvez
spécifier les paramètres de configuration de base dans la commande d'installation.
Installez ESET Mail Security et désactivez ESET LiveGrid® :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log CFG_LIVEGRID_ENABLED=0
Liste de toutes les propriétés de configuration :
Basculer
Valeur
CFG_POTENTIALLYUNWANTED_ENABLED=1/0 0 - Désactivée, 1 - Activée
CFG_LIVEGRID_ENABLED=1/0
0 - Désactivée, 1 - Activée
FIRSTSCAN_ENABLE=1/0
0 - Désactiver, 1 - Activer
CFG_PROXY_ENABLED=0/1
0 - Désactivée, 1 - Activée
CFG_PROXY_ADDRESS=<ip>
Adresse IP du mandataire
CFG_PROXY_PORT=<port>
Numéro de port mandataire
CFG_PROXY_USERNAME=<user>
Nom d'utilisateur pour l'authentification
CFG_PROXY_PASSWORD=<pass>
Mot de passe pour l'authentification
Paramètres de langue : Langue du produit (vous devez spécifier les deux paramètres)
Basculer
PRODUCT_LANG=
Valeur
LCID décimal (ID de paramètres régionaux), par exemple 1033 pour English - United
States, consultez la liste des codes de langues.
PRODUCT_LANG_CODE= Chaîne LCID (Nom de la culture de la langue) en minuscules, par exemple en-us pour
English - United States, consultez la liste des codes de langues.
Activation du produit
Une fois l'installation terminée, vous serez invité à activer votre produit.
23
Vous pouvez utiliser l'une ou l'autre des méthodes suivantes pour activer ESET Mail Security :
Une clé de licence achetée
Saisissez ou copiez-collez votre clé de licence émise par ESET dans le champ Clé de licence et cliquez sur
Continuer. Saisissez la clé de licence telle que libellée, y compris les traits d'union. Si vous copiez/collez la licence,
assurez-vous de ne pas sélectionner accidentellement d’espace supplémentaire autour du texte.
ESET Business Account
Utilisez cette option si vous êtes enregistré et avez votre ESET Business Account dans lequel votre licence ESET
Mail Security a été importée.
Fichier de licence hors ligne
Il s’agit d’un fichier généré automatiquement qui est transféré vers le produit ESET. Votre fichier de licence hors
ligne est généré par le portail de licences et utilisé dans des environnements où l'application ne peut pas se
connecter au service de délivrance des licences.
Cliquez sur Activer ultérieurement avec ESET PROTECT si votre ordinateur appartient au réseau géré, et que votre
administrateur effectuera l'activation à distance à l'aide d'ESET PROTECT. Vous pouvez aussi utiliser cette option
si vous voulez activer ce client ultérieurement.
Sélectionnez Aide et assistance > Modifier la licence dans la fenêtre principale du programme afin de gérer les
renseignements de licence à tout moment. Vous verrez l'ID de licence publique utilisé pour identifier votre
produit et pour l'identification de la licence. Le nom d'utilisateur sous lequel l'ordinateur est enregistré est stocké
dans la section À propos que vous pouvez afficher en cliquant à du bouton droit sur l’icône de la zone de
notification Windows .
24
Une fois l’activation de ESET Mail Security réussie, la fenêtre principale du programme s’ouvre et affiche l’état
actuel dans la page Surveillance. Votre attention pourrait être requise au début. Par exemple, il vous sera
demandé de participer à ESET LiveGrid®.
La fenêtre principale du programme affichera aussi des notifications sur d'autres éléments, tels que les mises à
jour du système (Windows Updates) ou les mises à jour du moteur de détection. Lorsque tout ce qui nécessite
une attention est résolu, l’état de surveillance devient vert et affiche l’état Vous êtes protégé.
Vous pouvez également activer votre produit à partir du menu principal sous Aide et assistance > Activer le
produit ou de l'état Surveillance > Le produit n'est pas activé.
ESET PROTECT est capable d'activer silencieusement les ordinateurs clients en utilisant les licences mises à
disposition par l'administrateur.
Activation réussie
Le ESET Mail Security n'est pas activé Dorénavant, ESET Mail Security recevra régulièrement des mises à jour afin
de pourvoir identifier les menaces les plus récentes et protéger votre ordinateur.
Cliquez sur Terminé pour terminer l'activation du produit.
Échec de l'activation
Dans le cas où l'activation de ESET Mail Security n'a pas réussi, les scénarios suivants sont possibles :
• Clé de licence déjà en cours d’utilisation
• Clé de licence non valide : erreur de formulaire d’activation de produits
• Les renseignements manquants ou non valides doivent être corrigés
• Échec de la communication avec la base de données d’activation : réessayez dans 15 minutes
• La connexion aux serveurs d’activation d’ESET n’est pas disponible ou a été désactivée
Assurez-vous que vous avez entré la clé de licence appropriée ou installé une licence hors ligne et réessayez
l'activation.
Si vous ne parvenez pas à effectuer l'activation, consultez l’assistant de dépannage de l’activation.
Licence
Vous êtes invité à sélectionner une licence ESET Mail Security associée à votre compte. Cliquez sur Continuer
pour procéder à l'activation.
25
Mettre à niveau vers la version la plus récente?
Les nouvelles versions de ESET Mail Security sont fournies afin d'apporter des améliorations ou de corriger des
problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du programme.
Méthodes de mise à niveau :
• Désinstaller/Installer - Supprimer l'ancienne version avant d'installer la nouvelle. Téléchargez la dernière
version de ESET Mail Security Exportez les paramètres de votre ESET Mail Security existant si vous souhaitez
conserver la configuration. Désinstallez ESET Mail Security et redémarrez le serveur. Effectuez une nouvelle
installation avec le programme d'installation que vous avez téléchargé. Importer les paramètres pour
charger votre configuration. Nous recommandons cette procédure si vous avez un seul serveur exécutant
ESET Mail Security.
• Sur place - Une méthode de mise à niveau qui permet d'installer la nouvelle version de ESET Mail Security
sur la version existante sans supprimer cette dernière.
Il est nécessaire que vous n'ayez pas de mises à jour Windows en attente sur votre serveur, ni de
redémarrage en attente en raison des mises à jour de Windows ou pour toute autre raison. Si vous essayez
d'effectuer une mise à niveau sur place avec des mises à jour Windows en attente ou de redémarrer votre
ordinateur, la version existante de ESET Mail Security peut ne pas être supprimée correctement. Vous
rencontrerez également des problèmes si vous décidez de supprimer manuellement l'ancienne version de
ESET Mail Security par la suite.
Le redémarrage du serveur sera nécessaire pendant la mise à niveau de ESET Mail Security.
• À distance - Pour une utilisation dans les grands environnements réseau gérés par ESET PROTECT. Il s'agit
essentiellement d'une méthode de mise à niveau propre, mais effectuée à distance. Cette méthode est utile
si vous avez plusieurs serveurs exécutant ESET Mail Security.
• Assistant ESET Cluster - peut également être utilisé comme méthode de mise à niveau. Nous
recommandons cette méthode pour 2 ou plusieurs serveurs équipé de ESET Mail Security. Il s'agit
essentiellement d'une méthode de mise à niveau sur place, mais effectuée au moyen d'ESET Cluster. Une
fois la mise à niveau terminée, vous pouvez continuer à utiliser la grappe ESET et profiter de ses
fonctionnalités.
La mise à jour à partir de la version 4.x ne conserve pas certains paramètres, en particulier les règles ne
peuvent pas être migrées. Cela est dû aux modifications apportées à la fonctionnalité de règles qui ont été
introduites dans les versions ultérieures du produit. Nous vous recommandons de noter les paramètres de
vos règles avant d'effectuer une mise à jour à partir des versions 4.x. Vous pouvez configurer des règles une
fois la mise à niveau terminée. Les nouvelles règles vous donnent une plus grande flexibilité et encore plus
de possibilités par rapport aux règles de la version précédente de ESET Mail Security.
Voici une liste des paramètres qui sont conservés à partir des versions antérieures de ESET Mail Security :
• Configuration générale de ESET Mail Security.
Paramètres de la protection antipourriel :
• Tous les paramètres qui sont identiques dans les versions antérieures; les nouveaux paramètres seront
26
réglés aux valeurs par défaut.
• Entrées de liste blanche et de liste noire.
Après avoir mis votre ESET Mail Security à niveau, nous vous recommandons de parcourir tous les
paramètres pour vous assurer que le produit est configuré correctement et en fonction de vos besoins.
Mise à niveau à l'aide de ESET PROTECT
ESET PROTECT vous permet de mettre à niveau plusieurs serveurs exécutant une version antérieure de ESET Mail
Security. L’avantage de cette méthode est qu’elle permet de mettre simultanément à niveau plusieurs serveurs
tout en s’assurant que chaque ESET Mail Security est configuré de manière identique (en cas de besoin).
La procédure comprend les phases suivantes :
• Mettre à niveau le premier serveur manuellement en installant la dernière version de ESET Mail Security
sur votre version existante pour préserver votre configuration, y compris les règles et plusieurs listes
blanches/listes noires. Cette phase s'effectue localement sur le serveur exécutant ESET Mail Security.
• Demander la configuration du ESET Mail Security nouvellement mis à niveau vers la version 7.x et
Convertir la stratégie dans ESET PROTECT. La politique sera appliquée ultérieurement à tous les serveurs mis
à niveau. Cette phase ainsi que les phases suivantes s'effectuent à distance à l'aide de ESET PROTECT.
• Exécuter la tâche de désinstallation de logiciel sur tous les serveurs exécutant l'ancienne version de ESET
Mail Security.
• Exécuter la tâche d’installation du logiciel sur tous les serveurs sur lesquels la dernière version de ESET
Mail Security doit être installée.
• Attribuer une politique de configuration à tous les serveurs exécutant la dernière version de ESET Mail
Security.
Suivez les instructions ci-dessous pour effectuer une mise à niveau à l’aide de ESET PROTECT
1. Connectez-vous sur l'un des serveurs exécutant ESET Mail Security et mettez-le à niveau en téléchargeant et
en installant la dernière version sur la version existante. Suivez les étapes d’installation standard. Vos
configurations d’origine de ESET Mail Security sont conservées pendant l’installation.
2. Ouvrez la ESET PROTECTonsole Web , sélectionnez un ordinateur client au sein des groupes statiques ou
dynamiques et cliquez sur Afficher Détails.
3. Sélectionnez l’onglet Configuration et cliquez sur le bouton Demander une configuration pour collecter les
configurations de votre produit géré. Sachez que ce processus prend un certain temps. Une fois que la
configuration la plus récente sera affichée dans la liste, cliquez sur produit de sécurité et sélectionnez Ouvrir
la configuration.
4. Créez une politique de configuration en cliquant sur le bouton Convertir la politique. Entrez le nom de la
nouvelle politique et cliquez sur Terminer.
5. Sélectionner Tâches client et sélectionnez la tâche Installation de logiciel. Lors de la création de la tâche de
désinstallation, nous vous recommandons de redémarrer le serveur après la désinstallation en cochant la case
27
Redémarrer automatiquement si nécessaire. Une fois que vous avez créé la tâche, ajoutez tous les
ordinateurs cibles souhaités pour la désinstallation.
6. Assurez-vous que ESET Mail Security est désinstallé sur toutes les cibles.
7. Créez une tâche d'installation de logiciel pour installer, si vous le souhaitez, les dernières versions deESET
Mail Security sur les cibles.
8. Attribuez une politique de configuration à tous les serveurs exécutant ESET Mail Security, idéalement à un
groupe.
Mise à niveau à l'aide de la grappe ESET
La création d'une grappe ESET vous permet de mettre à niveau plusieurs serveurs en utilisant l'ancienne version
de ESET Mail Security. Nous recommandons l'utilisation de la méthode de grappe ESET si votre environnement
comprend 2 serveurs ou plus avec ESET Mail Security. Un autre avantage de cette méthode de mise à niveau est
qu'elle vous permet de continuier à utiliser la grappe ESET pour que la configuration de ESET Mail Security soit
synchronisée sur tous les nœuds membres.
Suivez les étapes ci-dessous pour mettre à niveau à l'aide de cette méthode :
1. Connectez-vous sur l'un des serveurs exécutant ESET Mail Security et mettez-le à niveau en téléchargeant et
en installant la dernière version sur la version existante. Suivez les étapes pour une installation ordinaire.
Toutes les configurations d'origine de votre ancien ESET Mail Security seront préservées lors de l'installation.
2. Lancez l'assistant de grappe ESET et ajoutez les nœuds de grappe (les serveurs sur lesquels vous voulez
mettre ESET Mail Security à niveau). Si nécessaire, ajoutez d'autres serveurs qui n'exécutent pas encore ESET
Mail Security (une installation sera effectuée sur ces serveurs). Nous vous recommandons de laisser les
paramètres par défaut lors de la spécification du nom de la grappe et du type d'installation (assurez-vous que
l'option Pousser la licence aux nœuds sans produit activé est sélectionnée).
3. Vérifiez l'écran Journal de vérification des nœuds. Il affiche les serveurs ayant des versions plus anciennes et
sur lesquels le produit va être réinstallé. ESET Mail Security sera également installé sur tous les serveurs
ajoutés, sur lesquels il n'est pas actuellement installé.
28
4. L'écran Installation des nœuds et activation de la grappe affichera l'état d'avancement de l'installation. Si
l'installation se termine correctement, les résultats devraient ressembler à ceux-ci :
29
Si votre réseau ou votre DNS n'est pas configuré correctement, le message d'erreur suivant pourrait s'afficher :
Impossible d'obtenir le jeton d'activation à partir du serveur.. Essayez d'exécuter à nouveau l'assistant de grappe
ESET. Cette action détruit la grappe et crée une nouvelle (sans réinstaller le produit) et l'activation devrait se
terminer avec succès cette fois. Si le problème persiste, vérifiez vos paramètres réseau et DNS.
30
Installation dans un environnement en grappe
Vous pouvez déployer ESET Mail Security dans un environnement en grappe (par exemple la grappe de
basculement). Nous vous recommandons d'installer ESET Mail Security sur un nœud actif, puis de redistribuer
l'installation sur des nœuds passifs à l'aide de la fonctionnalité Grappe ESET de ESET Mail Security. En dehors de
l'installation, la grappe ESET servira de réplication de la configuration de ESET Mail Security afin d'assurer la
cohérence entre les nœuds de la grappe, ce qui est nécessaire à un bon fonctionnement.
Serveur de terminal
Si vous avez installé ESET Mail Security sur Windows Server utilisé comme serveur de terminal, vous pouvez
désactiver l'interface graphique de ESET Mail Security pour l'empêcher de démarrer chaque fois qu'un utilisateur
ouvre une session. Voir Désactiver l'interface graphique sur le serveur de terminal pour connaître les étapes
précises à effectuer pour désactiver l'IUG.
Environnement multiserveur / DAG
ESET Mail Security prend en charge les environnements multiserveurs. Si votre infrastructure est constituée de
plusieurs serveurs, par exemple Database availability group (DAG), vous pouvez installer ESET Mail Security sur
31
chaque serveur Exchange avec le rôle Mailbox.
La façon la plus simple est d'installer ESET Mail Security sur tous les serveurs utilisant la grappe ESET. Aussi, il est
recommandé d'activer Utiliser la grappe ESET pour stocker tous les messages mis en quarantaine sur un nœud
dans les paramètres de quarantaine de courriel. Si vous prévoyez d'utiliser la mise en liste grise, activez
Synchroniser les bases de données des listes grises avec toute la grappe ESET.
Prise en main
Les rubriques suivantes vous aideront à démarrer avec ESET Mail Security.
Surveillance
Il s'agit d'une vue d'ensemble rapide de l'état actuel de ESET Mail Security, qui vous permet de voir facilement si
des problèmes nécessitent votre attention.
Géré par l'entremise de ESET PROTECT
Vous pouvez utiliser ESET PROTECT pour gérer à distance ESET Mail Security. La partie suivante devrait vous aider
à démarrer avec ESET Mail Security.
Tâches post-installation
Elles sont destinées à vous aider pour la configuration.
Tâches post-installation
Voici les tâches recommandées qui permettent la configuration initiale de votre ESET Mail Security.
Sujet
Description
Activation du produit
Assurez-vous que ESET Mail Security est activé. Vous pouvez effectuer l’activation de
plusieurs manières différentes.
Mettre à jour
Une fois le produit activé, la mise à jour du module s'exécute automatiquement.
Vérifiez l'état de la mise à jour pour voir si celle-ci a réussi.
Gestionnaire de la
quarantaine de
courriels
Familiarisez-vous avec le gestionnaire de quarantaine du courriel, accessible à partir de
la fenêtre principale du programme. Cette fonctionnalité vous permet de gérer les
messages mis en quarantaine tels que les pourriels, les pièces jointes infectées
contenant des logiciels malveillants, les messages d'hameçonnage et les messages
filtrés par des règles. Vous pouvez voir les détails de chaque message et effectuer une
action (libérer ou supprimer).
Interface Web de la
quarantaine de
courriels
L'interface Web de Quarantaine de courriel est une autre solution, en dehors du
gestionnaire de Quarantaine de courriel, qui vous permet de gérer les objets mis en
quarantaine à distance. L’interface Web de la mise en quarantaine de courriels permet
également aux utilisateurs (destinataires de messagerie) de gérer leurs messages mis en
quarantaine. Les utilisateurs peuvent être informés du contenu nouvellement mis en
quarantaine grâce aux rapports sur la mise en quarantaine des courriels envoyés par
courriel. Nous vous recommandons de configurer les rapports.
32
Sujet
Description
Rapports sur la mise en Créez une tâche planifiée pour envoyer des rapports sur la mise en quarantaine de
quarantaine des
courriels à vous-même et aux utilisateurs sélectionnés afin de leur permettre de libérer
courriels
certains messages qui sont des faux positifs et de gérer leur contenu mis en
quarantaine à l'aide de l'interface Web de Quarantaine de courriel (visionneuse en
ligne). Les utilisateurs peuvent accéder à l'interface Web en cliquant sur un lien fourni
dans les rapports de mise en quarantaine des courriels et en se connectant à l'aide de
leurs identifiants de domaine.
Antipourriel - Filtrage et La fonctionnalité antipourriel est une fonctionnalité sophistiquée basée sur le nuage qui
vérification
empêche vos utilisateurs (destinataires de courriels) de recevoir des pourriels. Nous
vous recommandons d'utiliser le filtrage et la vérification et d'ajouter vos adresses IP
locales à la liste des adresses IP à ignorer. Les adresses IP de votre infrastructure réseau
seront alors ignorées lors de la classification. Vous pouvez configurer et gérer le reste
des listes Approuvées, Bloquées et Ignorées pour personnaliser le filtrage et la
vérification. Vous pouvez également activer la mise en liste grise si vous souhaitez
utiliser cette fonctionnalité.
Règles
Une fonctionnalité puissante qui vous permet de filtrer les courriels en fonction de
conditions définies et d'actions. Utilisez des règles prédéfinies (modifiez-les si
nécessaire) ou créez de nouvelles règles personnalisées pour répondre à vos besoins.
Les règles peuvent être configurées pour l'une des couches de protection (protection du
transport du courriel, protection de base de données de boîtes de courriels ou analyse
de la base de données de boîtes de courriels à la demande).
Test antivirus
Il permet de vérifier que la protection antivirus fonctionne correctement.
Test antipourriel
Il permet de vérifier que la protection antipourriel fonctionne correctement.
Test antihameçonnage Il permet de vérifier que la protection antihameçonnage fonctionne correctement.
Géré par l'entremise de ESET PROTECT
ESET PROTECT est une application qui vous permet de gérer des produits ESET dans un environnement en réseau
à partir d'un emplacement central. Le système de gestion de tâches d'ESET PROTECT vous permet d'installer les
solutions de sécurité d'ESET sur des ordinateurs distants et de répondre rapidement à de nouveaux problèmes et
de nouvelles menaces.
ESET PROTECT n'offre aucune protection contre des programmes malveillants, mais plutôt se repose sur la
présence des solutions de sécurité ESET sur chaque client.
Les solutions de sécurité ESET prennent en charge les réseaux constitués de plusieurs types de plateforme. Votre
réseau peut être constitué d'une combinaison de systèmes d'exploitation actuels de Microsoft, de systèmes
d'exploitation basés sur Linux, de systèmes d'exploitation mobiles et de macOS.
33
Pour plus de renseignements, consultez l'aide en ligne de ESET PROTECT.
Surveillance
L'état de la protection indiqué dans la section Surveillance vous informe au sujet du niveau de protection actuel
de votre ordinateur. Un résumé de l'état du fonctionnement de ESET Mail Security sera affiché dans la fenêtre
principale.
L'indicateur
Vous êtes protégés qui s'affiche en vert indique que la protection maximale est assurée.
L'icône rouge signale des problèmes critiques - la protection maximale de votre système n'est pas assurée.
Les détails du message d'erreur devraient vous permettre de mieux comprendre l'état actuel. Si vous ne parvenez
pas à régler un problème effectuez une recherche dans la Base de connaissances d'ESET. Si vous avez besoin
d'aide, vous pouvez également soumettre une demande d'assistance. Le service d'assistance technique d'ESET
répondra rapidement à vos questions et vous aidera à trouver une solution à votre problème. Pour obtenir la liste
complète des états, ouvrez Configuration avancée (F5) > Notifications > États de l’application et cliquez sur
Modifier.
L'icône orange avec un point d'exclamation (!) indique que votre produit ESET nécessite une attention pour
un problème non critique.
34
Les modules qui fonctionnent correctement sont marqués d'une coche verte. Les modules qui ne fonctionnent
pas complètement sont marqués d'un point d'exclamation rouge ou d'une icône de notification orange. Des
informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de
solution pour corriger le module est également affichée.
Pour changer l'état de chacun des modules, cliquez sur Configuration dans le menu principal puis sur le module
souhaité.
La page Surveillance contient également des informations sur votre système, dont quelques unes sont citées cidessous :
• Version du produit - numéro de version de ESET Mail Security.
• Nom du serveur - nom d'hôte de la machine ou FQDN.
• Système - détails du système d'exploitation.
• Ordinateur : détails de l'ordinateur.
• Temps de disponibilité du serveur - indique depuis combien de temps le système fonctionne; il s'agit
fondamentalement de l'opposé du temps d'arrêt.
Nombre de boîtes de courriels
ESET Mail Security détecte le nombre de boîtes de courriels et affiche le décompte basé sur la détection :
• Domaine - Nombre de toutes les boîtes de courriels dans un domaine particulier auquel appartient le
serveur Exchange. Ce nombre s’applique également à un environnement DAG et à son nombre total de
35
boîtes de courriels.
• Local : Correspond au nombre de boîtes de courriels dans le serveur Exchange pour lesquels ESET Mail
Security est installé. Si le serveur appartient à un DAG, ce nombre correspond au nombre de boîtes de
courriels stockées sur le serveur Exchange local par rapport au nombre total de domaines.
Si vous ne pouvez régler un problème à l'aide des solutions suggérées, cliquez sur Aide et assistance pour accéder
aux fichiers d'aide ou effectuez une recherche dans la Base de connaissances ESET . Si vous avez besoin d'aide,
vous pouvez également soumettre une demande d'assistance. Le service d'assistance technique d'ESET répondra
rapidement à vos questions et vous aidera à trouver une solution à votre problème.
Mises à jour Windows disponibles
La fenêtre Mises à jour système affiche la liste des mises à jour disponibles, prêtes pour le téléchargement et
l'installation. Le niveau de priorité de chaque mise à jour s'affiche à côté de son nom. Cliquez à droite sur toute
rangée de mise à jour puis sur Plus d'information pour afficher une fenêtre avec de l'information
supplémentaire :
Cliquez sur Exécuter la mise à jour du système pour ouvrir la fenêtre Mise à jour de Windows et procéder aux
mises à jour du système.
36
Isolement réseau
ESET Mail Security vous offre une option permettant de bloquer la connexion réseau de votre serveur appelée
isolation du réseau. Dans certains cas extrêmes, vous pouvez vouloir isoler un serveur du réseau à titre préventif.
Par exemple, si vous avez découvert que le serveur a été infecté par un logiciel malveillant ou que l'ordinateur a
été compromis d'une autre manière.
En activant l'isolation du réseau, tout le trafic du réseau est bloqué, sauf les éléments suivants :
• La connectivité avec le contrôleur de domaine demeure
• ESET Mail Security est toujours capable de communiquer
• Si ESET Management Agent et ESET InspectConnector existent, ils peuvent communiquer sur le réseau
Activez et désactivez l'isolement du réseau en utilisant la commande eShell ou la tâche client ESET PROTECT.
eShell
En mode interactif :
• Activer l'isolement du réseau : network advanced set status-isolation enable
• Désactiver l'isolement du réseau : network advanced set status-isolation disable
Vous pouvez également créer et exécuter un fichier par lots en utilisant le mode par lot/script.
ESET PROTECT
• Activer l'isolement du réseau en utilisant la tâche client .
• Désactiver l'isolement du réseau en utilisant la tâche client.
Lorsque l'isolation du réseau est activée, l'état de ESET Mail Security passe au rouge avec le message Accès au
37
réseau bloqué.
Utiliser ESET Mail Security
Cette partie contient une description détaillée de l'interface utilisateur du programme. Son but est d'expliquer
comment utiliser ESET Mail Security.
L'interface utilisateur vous permet d'accéder rapidement aux fonctionnalités couramment utilisées :
• Surveillance
• Fichiers journaux
• Analyser
• Mettre à jour
• Quarantaine de courriel
• Configuration
• Outils
Analyser
L'analyseur à la demande est un composant important de ESET Mail Security. Il est utilisé pour effectuer des
analyses de fichiers et de dossiers sur votre ordinateur. Pour assurer la sécurité de votre réseau, il est essentiel
que les analyses d'ordinateur ne soient pas effectuées uniquement lorsqu'une infection est suspectée. Elles
doivent être faites régulièrement dans le cadre des mesures de sécurité de routine.
Nous vous recommandons d'effectuer régulièrement (par exemple, une fois par mois) des analyses en profondeur
de votre système pour détecter les virus non détectés par la Protection en temps réel du système de fichier. Cela
peut se produire si une menace est introduite lorsque la protection du système de fichiers en temps réel est
désactivée, si le moteur de détection n'a pas été mis à jour ou si un fichier n'a pas été détecté lors de sa première
sauvegarde sur le disque.
Sélectionnez les analyses à la demande disponibles pour ESET Mail Security :
Analyse de la base de données de la boîte de courriels
Pour lancer une analyse de la base de données à la demande. Comme objet de l'analyse, vous pouvez
sélectionner Dossiers publics, Serveurs de courriel et Boîtes de courriel. Vous pouvez aussi utiliser le planificateur
pour exécuter l'analyse de la base de données à un moment ou lors d'un événement précis.
Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez choisir entre
Protection de la base de données de la boîte de courriels et Analyse de la base de données à la demande.
Un seul type de protection peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de
données à la demande, vous devrez désactiver l'intégration de la Protection de la base de données de la
boîte de courriels dans Configuration avancée sous Serveur. Sinon l'option Analyse de la base de données à
la demande ne sera pas disponible.
38
Analyse des boîtes aux lettres Microsoft 365
Vous permet d'analyser les boîtes aux lettres distantes dans les environnements hybrides Microsoft 365.
Analyse des unités de stockage
Analyse tous les dossiers partagés sur le serveur local. Si l'analyse du stockage n'est pas disponible, c'est qu'il n'y a
aucun dossier partagé sur votre serveur.
Analyse de votre ordinateur
Cette option vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés
sans intervention de l'utilisateur. L'avantage de l'analyse de votre ordinateur est qu'elle est facile à utiliser et
n'exige pas une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques durs
locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est
automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la
rubrique Nettoyage.
Il est recommandé d'exécuter une analyse de l'ordinateur au moins une fois par mois. Cette analyse peut
être configurée comme tâche planifiée.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres d'analyse tels que les
cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée réside dans la possibilité de configurer les
paramètres d'analyse de manière détaillée. Les configurations peuvent être enregistrées comme des profils
d'analyse définis par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes
paramètres.
Analyse des supports amovibles
Semblable à l'analyse intelligente - lance rapidement une analyse des supports amovibles (comme les
CD/DVD/USB) actuellement connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à
un ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces
potentielles. Ce type d'analyse peut également être lancé en cliquant sur Analyse personnalisée, puis en
sélectionnant Supports amovibles dans le menu déroulant Cibles à analyser et ensuite en cliquant sur Analyser.
Analyse Hyper-V
Cette option n'est visible dans le menu que si Hyper-V Manager est installé sur le serveur qui exécute ESET Mail
Security. L'analyse Hyper-V permet de faire l'analyse des disques de la Machine virtuelle (MV) sur le serveur
Microsoft Hyper-V sans avoir besoin d'installer des « agents » sur la MV en question.
Répéter la dernière analyse
Répète votre dernière opération d'analyse en utilisant exactement les mêmes paramètres.
La répétition de la dernière fonction d'analyse n'est pas disponible si l'option Analyse de la base de
données à la demande est présente.
39
Vous pouvez utiliser des options et afficher plus d'informations sur les états d'analyse :
Glisser-déposer des
fichiers
Vous pouvez également faire glisser et déposer des fichiers dans la fenêtre d'analyse
de ESET Mail Security. Ces fichiers seront analysés immédiatement à la recherche de
virus.
Rejeter/Rejeter tout
Rejet de messages donnés.
États de l'analyse
Affiche l'état de l'analyse initiale. Cette analyse est terminée ou a été interrompue par
l'utilisateur.
Afficher le journal
Affiche des informations plus détaillées.
Plus de détails
Vous pouvez cliquer sur Plus de détails pendant l'analyse pour voir des détails comme
l'Utilisateur qui a lancé le processus d'analyse, le nombre d'Objets analysés et la Durée
de l'analyse. Si une Analyse de base de données à la demande est en cours
d'exécution, l'utilisateur qui l'a lancée s'affiche et non pas le Compte d'analyse de base
de données qui est utilisé pour la connexion à EWS (Exchange Web Services) pendant
le processus d'analyse.
Ouvrir la fenêtre
d'analyse
La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi que de
l'information sur le nombre de fichiers contenant des programmes malveillants
trouvés.
Fenêtre d'analyse et journal d'analyse
La fenêtre d'analyse affiche les objets actuellement analysés, y compris leur emplacement, le nombre de menaces
trouvées (le cas échéant), le nombre d'objets analysés et la durée de l'analyse. La partie inférieure de la fenêtre
est un journal d'analyse qui indique le numéro de version du moteur de détection, la date et l'heure du début de
l'analyse et la sélection de la cible.
40
Une fois l'analyse en cours, vous pouvez cliquer sur Suspendre si vous souhaitez interrompre temporairement
l'analyse. L'option Reprendre est disponible lorsque le processus d'analyse est suspendu.
Faire défiler le journal de l'analyse
Laissez cette option cochée pour activer le défilement automatique des anciens journaux et afficher les journaux
actifs, dans la fenêtre Fichiers journaux.
Il est normal que certains fichiers, comme les fichiers protégés par mot de passe ou les fichiers utilisés
exclusivement par le système (généralement, les fichiers pagefile.sys et certains fichiers journaux), ne
puissent pas être analysés.
Une fois l'analyse terminée, le journal d'analyse s'affiche avec toutes les informations pertinentes liées à l'analyse
en question.
41
Cliquez sur l'icône du commutateur
Filtrage pour ouvrir la fenêtre Filtrage du journal dans laquelle vous
pouvez définir des critères de filtrage ou de recherche. Pour afficher le menu contextuel, cliquez avec le bouton
droit sur une entrée de journal spécifique :
Action
Usage
Filtrer les mêmes
enregistrements
Active le filtrage des journaux et n'affiche que les entrées de
même type que celle qui a été sélectionnée.
Filtrer...
Après avoir cliqué sur cette option, la fenêtre Filtrage des
journaux permet de définir les critères de filtrage à utiliser
pour des entrées particulières du journal.
Activer le filtre
Active les paramètres du filtre. La première fois que vous
activez le filtrage, vous devez définir les paramètres.
Désactiver le filtre
Désactive le filtrage (comme lorsque vous cliquez sur
l'interrupteur dans le bas).
Copier
Copie l'information des enregistrements sélectionnés ou
surlignés dans le presse-papier.
Tout copier
Copie les renseignements provenant de tous les
enregistrements affichés dans la fenêtre.
Exporter...
Exporte l'information contenue dans les enregistrements
sélectionnés/surlignés dans un fichier XML.
Tout exporter...
Exporte tous les renseignements dans la fenêtre dans un
fichier XML.
42
Raccourci
Consultez
également
Ctrl + Shift
+F
Filtrage du
journal
Ctrl + C
Fichiers journaux
Les fichiers journaux contiennent les événements importants qui ont eu lieu et donnent un aperçu des résultats
des analyses ainsi que des menaces détectées. Les journaux sont des outils essentiels pour l'analyse système, la
détection de menaces et le dépannage. La journalisation est toujours active en arrière-plan, sans interaction de
l'utilisateur. Les données sont enregistrées en fonction des paramètres actifs de verbosité. Il est possible
d'afficher les messages textes et les journaux directement à partir de l'environnement ESET Mail Security ou de
les exporter pour les afficher ailleurs.
Choisissez le type de journal approprié dans le menu déroulant. Les journaux suivants sont disponibles :
Détections
Le journal des détections contient de l'information détaillée sur les infiltrations détectées par les modules de ESET
Mail Security. Cela inclut l'heure de détection, le nom de l'infiltration, l'emplacement, l'action exécutée et le nom
de l'utilisateur connecté au moment où l'infiltration a été détectée.
Double-cliquez sur une entrée du journal pour afficher ses détails dans une fenêtre séparée. Si nécessaire, vous
pouvez créer une exclusion de détection; cliquez avec le bouton droit sur un enregistrement de journal
(détection) et cliquez sur Créer une exclusion. Cela ouvrira l'assistant d'exclusion avec des critères prédéfinis. S'il
y a un nom de détection à côté d'un fichier exclu, cela signifie que le fichier n'est exclu que pour la détection
donnée. Si ce fichier est infecté plus tard par d'autres logiciels malveillants, il sera détecté.
Événements
Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal des
événements. Le journal des événements contient de l'information sur les événements qui se sont produits dans le
programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. L'information
qu'on y trouve peut souvent permettre de trouver une solution à un problème qui s'est produit dans le
programme.
Analyse de l'ordinateur
Tous les résultats d'analyse s'affichent dans cette fenêtre. Chaque ligne correspond à un seul contrôle
d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse correspondante.
Fichiers bloqués
Contient des enregistrements de fichiers bloqués et inaccessibles. Le protocole indique la raison et le module
source qui a bloqué le fichier, ainsi que l'application et l'utilisateur qui ont exécuté le fichier.
Fichiers envoyés
Contient des enregistrements de fichiers de protection basée sur le nuage, ESET LiveGuard Advanced et ESET
LiveGrid®.
Journaux d'audit
Contient les enregistrements des modifications de l'état de la configuration ou de la protection et crée des
instantanés pour une référence ultérieure. Cliquez avec le bouton droit de la souris sur un enregistrement de type
Modification des paramètres et sélectionnez Afficher les modifications dans le menu contextuel pour afficher des
informations détaillées sur la modification effectuée. Si vous souhaitez restaurer vos paramètres précédents,
43
sélectionnez Restaurer. Vous pouvez également utiliser Retirer tout pour retirer les enregistrements de journal. Si
vous souhaitez activer la journalisation d'audit, accédez à Configuration avancée > Outils > Fichiers journaux >
Journal d’audit.
HIPS
Contient des enregistrements de règles particulières marquées pour enregistrement. Ce protocole affiche
l'application ayant appelé l'opération, le résultat (si la règle a été autorisée ou non) et le nom de la règle créée.
Protection du réseau
Contient des enregistrements de fichiers qui ont été bloqués par la protection contre les réseaux de zombies et
IDS (protection contre les attaques réseau).
Sites Web traités par le filtre
Une liste de sites Web ayant été bloqués par la protection de l'accès Web et la protection antihameçonnage des
courriels. Ces journaux affichent le moment, l'URL, l'utilisateur et l'application ayant établie une connexion au site
Web en question.
Contrôle de périphérique
Contient les enregistrements relatifs aux supports amovibles ou périphériques ayant été connectés à l'ordinateur.
Seuls les périphériques liés à une règle de contrôle des périphériques seront inscrits dans le fichier journal. Si un
périphérique connecté ne satisfait pas les critères de la règle, aucune entrée journal ne sera créée à la connexion
de ce périphérique. Vous pouvez aussi y voir différents détails, comme le type de périphérique, le numéro de
série, le nom du fournisseur et la taille du support (si elle est disponible).
Protection du serveur de messagerie
Tous les messages détectés par ESET Mail Security comme infiltration ou comme pourriel sont enregistrés ici. Ces
journaux s'appliquent aux types de protection suivants : Antipourriel, Antihameçonnage, Protection contre
l’usurpation d’identité de l’expéditeur, Règles et Anti-logiciel malveillant.
Lorsque vous double-cliquez sur un élément, une fenêtre contextuelle s'ouvre contenant des renseignements
supplémentaires sur le courriel détecté, comme l'adresse IP, le domaine HELO, l'ID du message, le type d'analyse
indiquant la couche de protection sur laquelle il a été détecté. En outre, vous pouvez voir le résultat de l'analyse
Anti-logiciel malveillant, Antihameçonnage et Antipourriel ainsi que la raison pour laquelle il a été détecté ou si
une règle a été activée.
Tous les messages traités ne sont pas enregistrés dans un journal de protection du serveur de messagerie.
Cependant, tous les messages réellement modifiés (pièce jointe supprimée, chaîne personnalisée ajoutée à
un en-tête de message, etc.) sont inscrits dans le journal.
Analyse de la base de données de la boîte de courriels
Contient la version du moteur de détection, la date, l'emplacement analysé, le nombre d'objets analysés, le
nombre de menaces trouvées, le nombre d'occurrences de la règle et la durée de l'analyse.
Protection SMTP
Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits ici. Tous les messages qui ont
été évalués à l'aide de la méthode de mise en liste grise, de SPF et de rétrodiffusion sont également affichés ici.
44
Chaque enregistrement contient le domaine HELO, l'adresse IP de l'expéditeur et du destinataire, les états des
actions (rejetées, rejetées (non vérifiées) et les messages entrants vérifiés). Il y a une nouvelle action pour ajouter
des sous-domaines dans la liste blanche de listes grises, voir le tableau ci-dessous
Analyse Hyper-V
Contient une liste de résultats d'analyse Hyper-V. Double-cliquez sur n'importe quelle entrée pour afficher les
détails de l'analyse correspondante.
Le menu contextuel (clic droit) vous permet de choisir une action avec l'enregistrement de journal sélectionné :
Action
Usage
Afficher
Affiche des renseignements plus détaillés sur le journal
sélectionné dans une nouvelle fenêtre (comme avec le
double-clic).
Filtrer les mêmes
enregistrements
Active le filtrage des journaux et n'affiche que les entrées de
même type que celle qui a été sélectionnée.
Filtrer...
Après avoir cliqué sur cette option, la fenêtre Filtrage des
journaux permet de définir les critères de filtrage à utiliser
pour des entrées particulières du journal.
Activer le filtre
Active les paramètres du filtre. La première fois que vous
activez le filtrage, vous devez définir les paramètres.
Désactiver le filtre
Désactive le filtrage (comme lorsque vous cliquez sur
l'interrupteur dans le bas).
45
Raccourci
Consultez
également
Ctrl + Shift
+F
Filtrage du
journal
Action
Usage
Raccourci
Copier
Copie l'information des enregistrements sélectionnés ou
surlignés dans le presse-papier.
Tout copier
Copie les renseignements provenant de tous les
enregistrements affichés dans la fenêtre.
Supprimer
Supprime le ou les enregistrements sélectionnés/surlignés cette action requière des privilèges administrateur.
Supprimer tout
Supprime tous les enregistrements dans la fenêtre - cette
action requière des privilèges administrateur.
Exporter...
Exporte l'information contenue dans les enregistrements
sélectionnés/surlignés dans un fichier XML.
Tout exporter...
Exporte tous les renseignements dans la fenêtre dans un
fichier XML.
Rechercher...
Ouvre la fenêtre Trouver dans le journal et permet de définir Ctrl + F
les critères de recherche. Vous pouvez utiliser la fonction
Rechercher pour localiser un enregistrement spécifique même
lorsque le filtrage est activé.
Rechercher suivant
Recherche la prochaine occurrence du critère de recherche
défini.
Rechercher précédent Trouve l'occurrence précédente.
Créer une exclusion
Permet d'exclure des objets du nettoyage en utilisant le nom
de la détection, le chemin ou son hachage.
Consultez
également
Ctrl + C
Suppr.
Trouver dans
le journal
F3
Shift + F3
Créer une
exclusion
Ajouter l'adresse IP Ajoute l'adresse IP de l'expéditeur à la liste blanche d'adresses IP. Vous pouvez trouver la
à la liste blanche de liste blanche des adresses IP dans Filtrage et vérification des sections Mise en liste grise
la mise en liste grise et SPF. Cela s'applique aux éléments enregistrés par la Mise en liste grise ou SPF.
Ajouter le domaine
à la liste blanche de
la mise en liste grise
et à SPF
Ajoute le domaine de l'expéditeur à la liste des domaines à mettre l'adresse IP en liste
blanche. Seul le domaine est ajouté, le sous-domaine est ignoré. Par exemple, si
l'adresse de l'expéditeur est sub.domain.com, seul domain.com est ajouté à la liste
blanche. Vous pouvez trouver la liste des domaines à mettre l'adresse IP en liste blanche
dans la section Mise en liste grise et SPF de la section Filtrage et vérification. Cela
s’applique aux éléments enregistrés par la mise en liste grise.
Ajouter le sous
domaine à la liste
grise et à la liste
blanche SPF
Ajoute le sous-domaine de l'expéditeur à la liste des domaines à mettre l'adresse IP en
liste blanche. Tout le domaine est ajouté, y compris le sous-domaine (par exemple
sub.domain.com). Vous avez ainsi plus de flexibilité si nécessaire. Vous pouvez trouver la
liste des domaines à mettre l'adresse IP en liste blanche dans la section Mise en liste
grise et SPF de la section Filtrage et vérification. Cela s’applique aux éléments enregistrés
par la mise en liste grise.
Filtrage du journal
La fonction de filtrage des journaux vous aidera à trouver les informations que vous recherchez, en particulier
lorsqu'il existe de nombreux enregistrements. Il vous permet de restreindre les enregistrements de journaux, par
exemple, si vous recherchez un type spécifique d'événement, de statut ou de période.
46
Vous pouvez filtrer les enregistrements de journaux en spécifiant certaines options de recherche, seuls les
enregistrements pertinents (en fonction de ces options de recherche) seront affichés dans la fenêtre Fichiers
journaux.
Tapez le mot-clé que vous recherchez dans le champ Trouver le texte. Utilisez le menu déroulant Rechercher
dans les colonnes pour affiner votre recherche. Choisissez un ou plusieurs enregistrements dans le menu
déroulant Types d'enregistrement du journal. Définissez la Période à partir de laquelle vous souhaitez afficher les
résultats. Vous pouvez également utiliser d'autres options de recherche, telles que Correspondance de mots
entiers uniquement ou Sensible à la casse.
Rechercher texte
Tapez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant cette chaîne de
caractères seront affichés. Les autres enregistrements seront omis.
Rechercher dans les colonnes
Sélectionnez les colonnes qui seront considérées dans la recherche. Vous pouvez cocher une ou plusieurs
colonnes à utiliser dans la recherche.
Types d'enregistrement
Choisissez un ou plusieurs types d'enregistrement du journal dans le menu déroulant :
• Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées
47
préalables.
• Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que
toutes les entrées préalables.
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront
enregistrées.
• Critique - Ne consigne que les erreurs critiques.
Période
Définissez la période pendant laquelle vous voulez que les résultats soient affichés :
• Journal entier (valeur par défaut) - ne limite pas la recherche à la période, cherche plutôt dans l'ensemble
du journal
• Dernier jour
• Dernière semaine
• Dernier mois
• Intervalle - Vous pouvez spécifier la période exacte (De : et À :) pour filtrer uniquement les
enregistrements de la période spécifiée.
Mots entiers seulement
Cochez cette case si vous voulez rechercher des mots entiers particuliers pour obtenir des résultats de recherche
plus précis.
Respect de la casse
Activez cette option s’il est important d’utiliser des majuscules et des minuscules lors du filtrage. Lors de la
configuration de vos options de filtrage/de recherche, cliquez sur OK pour afficher les enregistrements de journal
filtrés ou Rechercher pour démarrer la recherche.
La recherche s'effectue de haut en bas dans les fichiers journaux, à partir de votre position actuelle
(l'enregistrement mis en surbrillance). La recherche s'arrête lorsqu'elle trouve le premier enregistrement
correspondant. Appuyez sur F3 pour rechercher l'enregistrement suivant ou cliquez avec le bouton droit et
sélectionnez Rechercher pour affiner vos options de recherche.
Mettre à jour
Dans la section Mise à jour, vous pouvez voir l'état actuel de mise à jour de votre ESET Mail Security, y compris la
date et l'heure de la dernière mise à jour réussie. La mise à jour régulière de ESET Mail Security constitue la
meilleure méthode pour maintenir le niveau maximal de sécurité pour votre serveur.
Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour le
moteur de détection et les composants système. La mise à jour du moteur de détection et des composants du
48
programme est un élément important de la protection complète contre les codes malveillants.
Si vous n'avez pas encore entré la clé de licence, vous ne pourrez pas recevoir de mises à jour et vous serez
invité à activer votre produit. Pour ce faire, accédez à Aide et assistance > Activer le produit.
Version actuelle
Version de ESET Mail Security.
Dernière mise à jour réussie
Date de la dernière mise à jour. Assurez-vous qu'il s'agit d'une date récente indiquant que les modules sont à jour.
Dernière vérification des mises à jour
La date de la dernière tentative de mise à jour des modules.
Afficher tous les modules
Pour ouvrir la liste des modules installés.
Rechercher des mises à jour
La mise à jour des modules est un élément important d'une protection complète contre les codes malveillants.
Changer la fréquence de mise à jour
Vous pouvez modifier le calendrier des tâches pour la tâche du planificateur Mise à jour automatique régulière.
49
Si vous ne vérifiez pas les mises à jour dès que possible, l'un des messages suivants s'affichera :
Message d'erreur
Descriptions
La mise à jour des modules Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour des
n'est pas à jour
modules. Nous recommandons de vérifier les paramètres de mise à jour. La cause la
plus fréquente de cette erreur est une saisie incorrecte des données
d'authentification ou une configuration incorrecte des paramètres de connexion.
Le produit n'est pas activé La clé de licence contient une erreur dans la configuration des mises à jour. Veuillez
vérifier vos données d'authentification. La fenêtre Configuration avancée (F5)
contient des options de mise à jour supplémentaires. Cliquez sur Aide et assistance
> Gérer les licences à partir du menu principal pour entrer une nouvelle clé de
licence.
Une erreur s'est produite Les paramètres de connexion Internet sont une cause possible de cette erreur. Nous
pendant le téléchargement vous recommandons de vérifier votre connectivité à Internet en ouvrant un site
des fichiers de mise à jour Web dans votre navigateur. Si le site Web ne s'ouvre pas, il est probable qu'aucune
connexion à Internet ne soit établie ou que votre ordinateur ait des problèmes de
connectivité. Consultez votre fournisseur de services Internet si vous ne disposez
pas d'une connexion Internet active.
Échec de la mise à jour des Cliquez sur Mises à jour > Rechercher les mises à jour. Pour plus de
modules : erreur 0073
renseignements, consultez cet article de la base de connaissances.
Les options du serveur mandataire pour les différents profils de mise à jour peuvent différer. Si c'est le cas,
configurez les différents profils de mise à jour dans Configuration avancée (F5) en cliquant sur Mettre à
jour > Profil.
Quarantaine de courriel
Les courriels et leurs composants, tels que les pièces jointes, sont mis en quarantaine de courriel au lieu de la
mise en quarantaine traditionnelle de fichiers. La mise en quarantaine des courriels permet de gérer plus
facilement les pourriels, les pièces jointes infectées contenant des logiciels malveillants ou des messages
d'hameçonnage. Il existe différentes raisons pour lesquelles les courriels sont mis en quarantaine, en fonction du
module de protection de ESET Mail Security qui gère le message (Anti-logiciel malveillant, Antipourriels,
Antihameçonnage, Protection contre l’usurpation d’identité de l’expéditeur ou Règles).
Filtrage par icônes
Vous pouvez utiliser des icônes pour filtrer les messages afin de voir les pièces jointes, les courriels ou les
courriels contenant uniquement des pièces jointes.
Durée temporelle
Sélectionnez la période pour laquelle vous souhaitez voir les courriels en quarantaine. Lorsque vous sélectionnez
Personnalisé, vous pouvez spécifier une plage (De et À).
Recherche rapide
Entrez une chaîne dans la zone de texte pour filtrer les courriels affichés (la recherche s'applique à toutes les
colonnes).
Raison
Utilisez les cases à cocher pour filtrer davantage par type (pourriel, logiciel malveillant, règle ou identité de
50
l’expéditeur usurpée).
La mise à jour du gestionnaire de la Quarantaine de courriel ne s'effectue pas automatiquement. Nous vous
recommandons de cliquer sur Actualiser
courants dans la Quarantaine de courriel.
de façon régulière pour afficher les éléments les plus
Version
Libère le courriel vers le ou les destinataires d'origine à l'aide du répertoire Replay et le supprime de la
quarantaine. Cliquez sur Oui pour confirmer l'action. Si l'élément en quarantaine est une pièce jointe provenant
d'un dossier public dont la fonctionnalité de courriel est activée, le bouton Libérer n'est pas disponible.
Lors de la libération des courriels de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il
peut facilement être mystifié. À la place, l'information de destinataire initial obtenue grâce à la commande
RCPT TO: pendant la connexion SMTP est utilisée. Cela garantit que le message qui est libéré de la
quarantaine sera remis au bon destinataire.
Si vous exécutez un environnement en grappe et sortez un message de la quarantaine, le message ne sera
pas remis en quarantaine par les autres nœuds ESET Mail Security. C’est le cas grâce à la synchronisation
des règles entre les nœuds de la grappe.
Supprimer
Supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action. Les éléments supprimés par la
fenêtre principale du programme sont supprimés de l'affichage de la quarantaine, mais conservés en mémoire.
51
Ceux-ci sont automatiquement supprimés plus tard (après trois jours par défaut).
Restaurer vers
Cette option vous permet de restaurer une ou plusieurs pièces jointes à un emplacement spécifié. Elle est
disponible uniquement pour les pièces jointes (elle sera grisée pour les messages). Si vous devez traiter
l'intégralité du message, utilisez la fonction Libérer à cet effet.
Détails du courriel mis en Quarantaine
Double-cliquez sur le message mis en quarantaine ou cliquez avec le bouton droit de la souris et choisissez
Afficher les détails. Une nouvelle fenêtre s’ouvrira avec des détails sur le courriel mis en quarantaine. Vous
pouvez également consulter les en-têtes du courriel RFC original pour plus de détails.
Détails de la pièce jointe mise en Quarantaine
Lorsque vous double-cliquez sur une pièce jointe, la boîte de dialogue de détail est différente de la boîte de
dialogue de détail du message. Les en-têtes RFC ne sont pas disponibles, mais une zone avec un texte d'enveloppe
de pièce jointe s'affiche. Vous pouvez entrer un texte personnalisé de l'enveloppe de pièce jointe lorsque vous le
libérez de la mise en quarantaine des courriels.
Des actions sont également disponibles dans le menu contextuel. Si vous le souhaitez, cliquez sur Libérer,
Supprimer ou Supprimer définitivement pour effectuer une action avec un courriel mis en quarantaine. Cliquez
sur Oui pour confirmer l'action. Si vous choisissez Supprimer définitivement, le message sera également
supprimé du système de fichiers, contrairement à Supprimer qui supprimera l'élément de l'affichage Gestionnaire
de quarantaine des courriels.
52
Configuration
La fenêtre du menu Configuration contient les sections suivantes :
• Serveur
• Ordinateur
• Réseau
• Web et messagerie
• Outils - Journalisation de diagnostic
Pour désactiver temporairement des modules individuels, cliquez sur le
Notez que cela peut réduire le niveau de protection de votre serveur.
situé à côté du module désiré.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
composant revient à un état activé.
. Le
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône de la roue
dentée .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez les paramètres
53
de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options avancés en fonction de vos besoins. Pour accéder à l'écran Configuration
avancée à partir de n'importe quel endroit du programme, appuyez sur F5.
Serveur
Vous verrez une liste de composants que vous pouvez activer/désactiver en utilisant le commutateur
configurer les paramètres d'un élément de la liste en particulier, cliquez sur la roue dentée .
. Pour
Protection antivirus
Protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de courriels, ainsi que les
communications Internet.
Protection antipourriel
Intègre plusieurs technologies (RBL, DNSBL, pistage par empreinte numérique unique, vérification de la
réputation, analyse du contenu, règles, ajout manuel à la liste blanche et à la liste noire, etc.) pour détecter le
plus grand nombre possible de menaces par courriel.
Protection anti-hameçonnage
Analyse le corps des messages entrants à la recherche des liens d'hameçonnage (URL).
L’analyse de base de données de boîtes aux lettres Microsoft 365
Pour activer cette fonctionnalité, enregistrez l’analyseur ESET Mail Security.
Exclusions automatiques
La fonctionnalité Exclusions automatiques identifie les applications serveur critiques et les fichiers du système
d'exploitation du serveur et les ajoute automatiquement à la liste des exclusions. Elle minimisera le risque de
conflits potentiels et augmentera la performance globale du serveur sur lequel s'exécute un logiciel de détection
de menaces.
Grappe
Configurer et activer la grappe ESET.
54
Ordinateur
ESET Mail Security possède tous les composants nécessaires pour assurer une protection considérable du serveur
en tant qu'ordinateur. Ce module vous permet d'activer ou de désactiver et de configurer les composants
suivants :
Protection en temps réel du système de fichier
Tous les fichiers sont analysés à la recherche de programmes malveillants à leur ouverture, leur création ou leur
exécution sur votre ordinateur. La Protection en temps réel du système de fichiers offre aussi la possibilité de
Configurer ou de Modifier les exclusions, qui ouvre la fenêtre des paramètres des exclusions, à partir de laquelle
vous pouvez exclure des fichiers et des dossiers de l'analyse.
Contrôle de périphériques
Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou les permissions étendus et de définir la
capacité d'un utilisateur d'accéder à un périphérique donné et de travailler avec celui-ci.
Host Intrusion Prevention System (HIPS)
Ce système surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers, en
fonction d'un ensemble personnalisé de règles.
• Advanced Memory Scanner
• Exploit Blocker
55
• Bouclier contre les rançongiciels
Mode Présentation
Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue
de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge
sur l'UC. Un message d'avertissement s'affichera (risque potentiel à la sécurité) et la fenêtre principale deviendra
orange après l'activation du Mode Présentation.
Suspendre la protection antivirus et anti-logiciel espion
Chaque fois que vous désactivez temporairement la protection antivirus et anti-logiciel espion, vous pouvez
sélectionner la durée pendant laquelle vous voulez que le composant sélectionnez soit désactivé en utilisant le
menu déroulant puis en cliquant sur Appliquer pour désactiver le composant de sécurité. Pour réactiver la
protection, cliquez sur Activer la protection antivirus et anti-logiciel espion ou activez en utilisant la barre de
curseur.
Réseau
Cela est possible en autorisant ou en refusant les connexions réseau individuelles en fonction de vos règles de
filtrage. Une protection est ainsi fournie contre les attaques provenant d'ordinateurs distants et certains services
potentiellement dangereux sont bloqués.
Le module réseau vous permet d'activer ou de désactiver et de configurer les composants suivants :
Protection contre les attaques réseau (IDS)
56
Analyse le contenu du trafic réseau et protège contre les attaques réseau. Le trafic considéré comme dangereux
sera bloqué.
Protection contre les réseaux de zombies
Détection et blocage des communications de Réseau de zombies Identifie rapidement et avec précision les
logiciels malveillants dans le système.
Liste noire temporaire des adresses IP (adresses bloquées)
Voir une liste des adresses IP ayant été détectées comme des sources d'attaque et ajoutées à la liste noire pour
éviter toute connexion pendant un certain temps.
Assistant de dépannage (applications ou appareils récemment bloqués)
Vous aide à résoudre les problèmes de connectivité causés par la protection contre les attaques de réseau.
Assistant de dépannage réseau
L'assistant de dépannage surveille toutes les connexions bloquées et vous guide tout au long du processus de
dépannage pour corriger les problèmes de protection contre les attaques réseau avec des applications ou des
périphériques spécifiques. Ensuite, l'assistant vous propose un nouvel ensemble de règles à appliquer si vous les
approuvez.
Sélectionnez une période dans le menu déroulant pendant laquelle les communications ont été bloquées. Une
liste des communications récemment bloquées vous donne un aperçu du type d'application ou de périphérique,
57
de la réputation et du nombre total d'applications et de périphériques bloqués pendant cette période. Pour plus
d’informations sur les communications bloquées, cliquez sur Détails.
L'étape suivante consiste à débloquer l'application ou le périphérique pour lequel vous rencontrez des problèmes
de connectivité.
Lorsque vous cliquez sur Débloquer, la communication précédemment bloquée est autorisée. Si vous continuez à
rencontrer des problèmes avec une application ou si votre périphérique ne fonctionne pas comme prévu, cliquez
sur l'option L'application ne fonctionne toujours pas. Toutes les communications précédemment bloquées pour
ce périphérique sont à présent autorisées. Si le problème persiste, redémarrez l’ordinateur.
Cliquez sur Afficher les modifications pour afficher les règles créées par l’assistant.
Cliquez sur Débloquer un autre pour résoudre les problèmes de communication avec un autre périphérique ou
une autre application.
Web et messagerie
Web et messagerie vous permet d'activer ou de désactiver et de configurer les composants suivants :
Protection de l'accès Web
Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé à la recherche de logiciels malveillants.
Protection anti-hameçonnage
Protège contre les tentatives de vol de vos mots de passe, de vos données bancaires et d'autres informations
sensibles par des sites Web illégitimes déguisés en sites légitimes.
Protection du client de messagerie
Surveille les communications reçues par l'entremise des protocoles POP3 et IMAP.
58
Outils - Journalisation de diagnostic
Vous pouvez activer la journalisation de diagnostic lorsque vous avez besoin d'informations détaillées sur le
comportement d'une fonctionnalité spécifique de ESET Mail Security, par exemple lors du dépannage. Lorsque
vous cliquez sur l'icône en forme d'engrenage
de diagnostic.
, vous pouvez configurer les fonctions à utiliser pour les journaux
Choisissez la durée de son activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu'au prochaine
redémarrage du serveur ou en permanence). Une fois la journalisation de diagnostic activée, ESET Mail Security
collecte les journaux détaillés en fonction des fonctionnalités activées.
59
Importation et exportation des paramètres
La fonction d'importation/exportation est utile si vous avez besoin de sauvegarder la configuration actuelle de
votre ESET Mail Security. Vous pouvez également utiliser la fonction d'importation pour distribuer ou appliquer
les mêmes paramètres aux autres serveurs avec ESET Mail Security. Les paramètres sont exportés vers un fichier
.xml.
60
Une erreur peur se produire lors de l'exportation de paramètres si vous n'avez pas les privilèges pour écrire
le fichier exporté dans le répertoire spécifié.
Outils
Les fonctionnalités suivantes sont disponibles pour l'administration de ESET Mail Security :
• Processus en cours
• Statistiques de protection
• Grappe
• ESET Shell
• ESET LiveGuard Advanced
• ESET SysInspector
• ESET SysRescue Live
• Planificateur
• Soumettre l'échantillon pour fins d'analyse
• Quarantaine
61
Processus en cours
Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et s'assure
qu'ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. ESET Mail Security
donne de l'information détaillée sur les processus en cours d'exécution pour protéger les utilisateurs grâce à la
technologie ESET LiveGrid®.
62
Les applications connues marquées comme Meilleure réputation (vert) sont propres (ajoutées à la liste
blanche) et sont exclues de l'analyse, puisque cela permet d'améliorer la vitesse de l'analyse à la demande
ou de la protection en temps réel du système de fichiers sur votre ordinateur.
Réputation
Dans la plupart des cas, ESET Mail Security et la technologie ESET LiveGrid® déterminent la
réputation d'un objet à l'aide d'une série de règles heuristiques qui examinent les
caractéristiques de chaque objet (fichiers, processus, clés de registre, etc.), puis évaluent
leur potentiel d'activité malveillante. Sur la base de ces heuristiques, les objets se voient
attribuer un niveau de réputation allant de 9 - Meilleure réputation (vert) à 0 - Pire
réputation (rouge).
Processus
Nom de l'image du programme ou du processus actuellement en cours d'exécution sur votre
ordinateur. Vous pouvez aussi utiliser le Gestionnaire des tâches de Windows pour afficher
tous les processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le
Gestionnaire des tâches en cliquant à droite dans une zone vide de la barre des tâches, puis
sur Gestionnaire des tâches, ou vous pouvez également appuyer sur les touches
Ctrl+Shift+Esc de votre clavier.
PID
C'est un identifiant des processus s'exécutant sur les systèmes d'exploitation Windows.
Nombre
d'utilisateurs
Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est colligée
par la technologie ESET LiveGrid®.
Heure de la
découverte
Période depuis que l'application a été découverte par la technologie ESET LiveGrid®.
Nom de
l’application
Le nom d'un programme ou d'un processus donné.
63
Une application n'est pas nécessairement un logiciel malveillant lorsqu'elle est marquée comme inconnue
(orange). Il s'agit généralement d'une application plus récente. Si vous avez des doutes au sujet du fichier,
utilisez la fonction Soumettre le fichier pour fins d'analyse pour envoyer le fichier au laboratoire ESET Virus
Lab. Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des
prochaines mises à jour du moteur de détection.
Afficher les détails
L'information suivante s'affichera dans le bas de la fenêtre :
• Chemin - Emplacement d'une application sur votre ordinateur.
• Taille - Taille du fichier indiquée en Ko (kilooctets) ou en Mo (mégaoctets).
• Description - Caractéristiques du fichier, en fonction de la description provenant du système
d'exploitation.
• Société - Nom du fournisseur ou du processus d'application.
• Version - Information de l'éditeur de l'application.
• Produit - Nom de l'application et/ou nom de l'entreprise.
• Date de création - Date et heure auxquelles une application a été créée.
• Date de modification - Date et heure auxquelles une application a été modifiée pour la dernière fois.
Ajouter aux exclusions de processus
Cliquez avec le bouton droit de la souris sur un processus dans la fenêtre Processus en cours pour l'exclure de
l'analyse. Son chemin d'accès sera ajouté à la liste Exclusions de processus.
Statistiques de protection
Pour afficher les données statistiques relatives aux modules de protection de ESET Mail Security, sélectionnez le
module de protection approprié dans le menu déroulant. Les statistiques incluent des informations telles que le
nombre de tous les objets analysés, le nombre d'objets infectés, le nombre d'objets nettoyés et le nombre
d'objets propres.
Passez votre souris sur un objet à côté du graphique et seules les données de cet objet spécifique s'afficheront
dans le graphique. Pour effacer les informations statistiques du module de protection en cours, cliquez sur
Réinitialiser. Pour effacer les données de tous les modules, cliquez sur Tout réinitialiser.
64
Les graphiques statistiques suivants sont disponibles dans ESET Mail Security :
Protection antivirus et anti-logiciel espion
Affiche le nombre d'objets total infectés et nettoyés.
Protection du système de fichiers
Affiche uniquement les objets lus ou écrits dans le système de fichier.
Protection Hyper-V
Affiche le nombre total d'objets infectés, nettoyés et propres (sur les systèmes avec Hyper-V uniquement).
Protection du client de messagerie
Affiche uniquement les objets envoyés ou reçus par les clients de messagerie.
Protection de l'accès Web et anti-hameçonnage
Affiche les objets téléchargés par des navigateurs Web seulement.
Protection du serveur de messagerie
Affiche les statistiques du serveur de messagerie anti logiciels malveillants.
65
Protection antipourriel du serveur de messagerie
Affiche l'historique des statistiques antipourriel. Le nombre Non analysé se rapporte aux objets exclus de l'analyse
(sur la base des règles, des messages internes, des connexion vérifiées, etc.).
Protection de l'ajout à la liste grise du serveur de messagerie
Comprend les statistiques sur l'antipourriel générées par la méthode d'ajout à la liste grise.
Activité de protection du transport de courriel
Affiche les objets vérifiés, bloqués ou supprimés par le serveur de courriel.
Performance de la protection du transport de courriel
Affiche les données traitées par VSAPI ou par l'agent de transport en bits/seconde.
Activité de protection de la base de données de la boîte de courriel
Affiche les objets traités par VSAPI (nombre d'objets vérifiés, mise en quarantaine et supprimés).
Performance de la protection de la base de données de la boîte de courriel
Affiche les données traitées par VSAPI (nombres des différentes moyennes pour Aujourd'hui, les Derniers 7 jours
et les moyennes Depuis la dernière réinitialisation).
Grappe
La Grappe ESET est une infrastructure de communication P2P utilisée par la gamme de produits ESET pour
Microsoft Windows Server. La grappe ESET s'utilise idéalement dans lequel vous disposez d'une infrastructure
Exchange avec plusieurs serveurs tels que DAG.
Cette infrastructure permet aux produits de serveur ESET de communiquer les uns avec les autres et d'échanger
des données telles que la configuration et les notifications et peut synchroniser les bases de données de mise en
liste grises; elle permet également de synchroniser les données requises pour le bon fonctionnement d'un groupe
d'instances de produits. Il peut s'agir, par exemple, d'un groupe de nœuds dans une grappe de basculement
Windows ou d'une grappe d'équilibrage de la charge réseau (ÉCR) sur lequel des produits ESET sont installés. Dans
ces cas, il faut s'assurer que les produits seront configurés de la même façon dans l'ensemble de la grappe. La
grappe ESET garantit l'uniformité entre les instances.
Les paramètres de l’interface utilisateur et des tâches planifiées ne sont pas synchronisés entre les nœuds
de Grappe ESET. Cela est volontaire. Par exemple, pour empêcher l’exécution d’une analyse de la base de
données à la demande et planifiée sur tous les nœuds de grappe en même temps, sans causer de
problèmes de performances inutiles.
Les journaux de la protection du serveur de messagerie sont séparés pour chaque nœud de grappe; les
journaux ne sont donc pas synchronisés. Vous pouvez utiliser la fonctionnalité Exporter vers le serveur
syslog sur chaque nœud pour que les journaux soit dupliqués sur le serveur Syslog au format CEF ou en vue
de leur utilisation à l’aide d’un outil SIEM. Vous pouvez également utiliser les journaux de l’exportation vers
les applications et les services Windows si vous préférez rassembler les journaux à partir de là.
66
La création de grappes ESET entre ESET Mail Security et ESET File Security pour Linux n'est pas prise en
charge.
Lors de la configuration de la Grappe ESET, il existe deux moyens pour ajouter des nœuds :
• Autodétection : Si vous disposez d'une grappe de basculement Windows ou d'une grappe d'équilibrage de
la charge réseau existante, l'autodétection ajoute automatiquement ses nœuds membres à la grappe ESET.
• Parcourir - Vous pouvez ajouter manuellement des nœuds en entrant le nom des serveurs (membres du
même groupe de travail ou du même domaine).
Lors de la libération des courriels de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il
peut facilement être mystifié. À la place, l'information de destinataire initial obtenue grâce à la commande
RCPT TO: pendant la connexion SMTP est utilisée. Cela garantit que le message qui est libéré de la
quarantaine sera remis au bon destinataire.
Une fois que vous avez ajouté les nœuds à votre Grappe ESET, la prochaine étape est l'installation d'ESET Mail
Security sur chaque nœud. Cette opération s'effectue automatiquement pendant la configuration de la Grappe
ESET. Authentifiant exigé lors de l'installation à distance de ESET Mail Security sur d'autres nœuds de la grappe :
• Scénario du domaine : Authentifiant de l'administrateur du domaine
• Scénario du groupe de travail : Vous devez vous assurer que tous les nœuds utilisent le même
authentifiant pour le compte administrateur local.
Dans une grappe ESET, vous pouvez également inclure une combinaison de nœuds ajoutés automatiquement en
tant que membres de la grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante,
67
ainsi que les nœuds ajoutés manuellement (à condition qu'ils appartiennent au même domaine).
Il est impossible de combiner des nœuds d'un domaine à ceux d'un groupe de travail.
Pour utiliser une grappe ESET, il est également nécessaire que le partage des fichiers et de l'imprimante soit
activé dans le pare-feu Windows avant de pousser ESET Mail Security sur les nœuds de la grappe ESET.
Vous pouvez ajouter de nouveaux nœuds à une grappe ESET existante à tout moment en exécutant l'assistant
pour la grappe.
Importer des certificats
Les certificats servent à fournir une authentification forte de machine à machine lorsque le protocole HTTPS est
utilisé. Il existe une hiérarchie de certificats indépendante pour chaque grappe ESET. La hiérarchie possède un
certificat racine et un ensemble de certificats de nœud signés par le certificat racine. La clé privée du certificat
racine est détruite après la création de tous les certificats de nœud. Lorsque vous ajoutez un nouveau nœud à la
grappe, une nouvelle hiérarchie de certificats est créée. Accédez au dossier qui contient les certificats (qui ont été
générés pendant l'exécution de l'assistant pour la grappe). Sélectionnez le fichier de certificat et cliquez sur
Ouvrir.
Détruire la grappe
Les grappes ESET peuvent être démantelées. Chacun des nœuds créera une entrée dans le journal des
événements à propos de la destruction de la grappe ESET. Par la suite, toutes les règles de pare-feu ESET seront
supprimées du pare-feu Windows. Les anciens nœuds retrouveront leur état antérieur et pourront être utilisés de
nouveau dans une autre grappe ESET au besoin.
Assistant pour la grappe : Sélection des nœuds
La première étape lorsque vous configurez une grappe ESET consiste à ajouter des nœuds. Vous pouvez utiliser
soit l'option Détection automatique ou Parcourir pour ajouter des nœuds. De manière alternative, vous pouvez
entrer le nom du serveur dans la boîte de texte, puis cliquer sur le bouton Ajouter.
Autodétection
Ajoute automatiquement les nœuds à partir de Windows Failover Cluster ou de Network Load Balancing (NLB)
Cluster existante. Pour que les nœuds puissent être ajoutés automatiquement, le serveur que vous utilisez pour
créer la grappe ESET doit appartenir à cette Windows Failover Cluster ou à cette . La fonctionnalité Autoriser le
contrôle à distance doit être activée dans les propriétés de la grappe d'équilibrage de la charge réseau pour que
la NLB Cluster puisse détecter correctement les nœuds. Lorsque vous aurez la liste des nœuds nouvellement
ajoutés.
Parcourir
Pour rechercher et sélectionner les ordinateurs appartenant à un Domain ou à un Workgroup. Cette méthode
vous permet d'ajouter des nœuds manuellement à la grappe ESET. Une autre façon d'ajouter des nœuds est
d'entrer le nom d'hôte du serveur que vous voulez ajouter et de cliquer sur Ajouter.
Charge
Pour importer la liste des nœuds à partir d'un fichier.
68
Pour modifier les Nœuds de la grappe indiqués dans la liste, sélectionnez le nœud à supprimer et cliquez sur
Supprimer ou, pour effacer l'ensemble de la liste, cliquez sur en cliquant sur Supprimer tout.
Si vous avez déjà une grappe ESET, vous pouvez y ajouter des nœuds en tout temps. Suivez les mêmes étapes que
celles décrites ci-dessus.
Tous les nœuds qui restent dans la liste doivent être en ligne et accessibles. L'hôte local est ajouté par
défaut aux nœuds de la grappe.
Assistant pour la grappe : Paramètres de grappe
Définissez le nom de la grappe et les spécificités du réseau (si nécessaire).
Nom de la grappe
Saisissez un nom pour votre grappe, puis cliquez sur Suivant.
Port d'écoute - (9777 est le port par défaut)
Si vous utilisez déjà le port 9777 dans votre environnement réseau, spécifiez un autre numéro de port qui n'est
pas utilisé.
Ouvrir le port dans le pare-feu Windows
69
Lorsque cette option est sélectionnée, une règle est créée dans le pare-feu Windows.
Assistant pour la grappe : Paramètres de configuration
de grappe
Sélectionnez le mode de distribution du certificat et choisissez si vous voulez ou non installer le produit sur
d'autres nœuds.
Distribution du certificat
• Automatiquement à distance - Le certificat sera installé automatiquement.
• Manuel : Cliquez sur Générer et sélectionnez le dossier approprié pour stocker les certificats. Un certificat
racine sera créé, ainsi qu’un certificat pour chacun des nœuds, y compris celui (machine locale) à partir
duquel vous configurez la grappe ESET. Pour inscrire le certificat sur la machine locale, cliquez sur Oui.
Installation du produit sur d'autres nœuds
• Automatiquement à distance - ESET Mail Security sera installé automatiquement sur chaque nœud (à
condition que leur système d'exploitation utilise la même architecture).
• Manuel : Installez manuellement ESET Mail Security (par exemple, lorsque vos nœuds utilisent des
architectures avec des systèmes d'exploitation différents).
Pousser la licence aux noeuds sans activer le produit
Sélectionnez cette option pour que ESET Security active automatiquement les solutions ESET installés sur les
nœuds sans licence.
Pour créer une grappe ESET en utilisant des architectures de système d'exploitation variées (32 et 64 bits),
vous devez installer ESET Mail Security manuellement. Le système d'exploitation utilisé sera détectée dans
les prochaines étapes et vous verrez cette information dans la fenêtre du journal.
Assistant pour la grappe : Vérification des nœuds
Après avoir précisé les détails de l'installation, une vérification des nœuds sera effectuée. Les informations
suivantes seront affichées dans le Journal de vérification des nœuds :
• vérifier que tous les nœuds existants sont en ligne
• vérifier que les nouveaux nœuds sont accessibles
• le nœud est en ligne
• le partage administrateur est accessible
• l'exécution à distance est possible
• vérifier que les bonnes versions des produits sont installées (ou il n'y a pas de produit)
70
• vérifier que les nouveaux certificats sont présents
Vous verrez le rapport une fois la vérification terminée :
71
Assistant pour la grappe : Installation des nœuds
Lorsque le produit est installé sur une machine distante pendant l'initialisation de la grappe ESET, l'assistant tente
de localiser le programme d'installation dans le répertoire %ProgramData%\ESET\ESET Security\Installer. Si le
progiciel d'installation ne s'y trouve pas, il vous sera demandé d'indiquer l'emplacement du fichier d'installation.
72
Lorsque vous tentez d'utiliser l'installation à distance automatique pour un nœud utilisant une architecture
différente (32 bits versus 64 bits), le logiciel le détectera et vous recommandera d'effectuer une installation
manuelle.
73
Une fois que vous avez configuré correctement la grappe ESET, elle apparaîtra comme activée dans la page
Configuration > Serveur.
Si une version antérieure de ESET Mail Security est déjà installée sur certains nœuds, vous serez informé
que la dernière version est requise sur ces machines. La mise à jour ESET Mail Security peut entraîner un
redémarrage automatique.
Vous pouvez également en vérifier l'état actuel dans la page d'état de la grappe (Outils > Grappe).
ESET Shell
eShell (nom abrégé de ESET Shell) est une interface de ligne de commande pour ESET Mail Security. C'est une
solution de rechange à l'interface utilisateur graphique (IUG). eShell comprend toutes les fonctionnalités et
options que l'on trouve généralement dans une IUG. eShell permet en outre de configurer et d'administrer
l'ensemble du programme sans devoir utiliser d'IUG.
En plus de toutes les fonctionnalités et fonctions incluses dans l'IUG, elle offre également la possibilité
d'automatiser certaines commandes en exécutant des scripts pour configurer, modifier la configuration ou
effectuer une action. eShell peut aussi être utile pour les personnes qui préfère utiliser la ligne de commande
plutôt que l'IUG.
74
Pour profiter de toutes les fonctionnalités, nous vous recommandons d'ouvrir eShell en utilisant Exécuter
en tant qu'administrateur. Il en va de même pour l'exécution d'une seule commande de l'invite de
commande (cmd) de Windows. Ouvrez l'invite de commande en utilisant Exécuter en tant
qu'administrateur. Si vous n'exécutez pas l'invite de commande en tant qu'administrateur, vous ne pourrez
pas exécuter de commandes en raison d'un manque d'autorisations.
eShell peut être exécuté dans deux modes :
1. Mode interactif - ce mode est utile lorsque vous voulez travailler avec eShell (pas seulement pour exécuter
une commande unique) et effectuer des tâches comme modifier la configuration, afficher les journaux, etc.
Vous pouvez utiliser le mode interactif si vous ne connaissez pas bien les commandes. Vous pouvez utiliser le
mode interactif si vous ne connaissez pas bien les commandes. Le mode interactif vous permettra de naviguer
plus facilement dans eShell. Il vous montrera également les commandes disponibles que vous pouvez utiliser
dans un contexte particulier.
2. Commande unique/mode séquentiel : vous pouvez utiliser ce mode si vous ne devez exécuter qu'une
commande sans devoir entrer dans le mode interactif de eShell. Cela est possible à partir de l'invite de
commande Windows en entrant eshell avec les paramètres appropriés.
eshell get status or eshell computer set real-time status disabled 1h
Afin d'exécuter certaines commandes (comme dans le deuxième exemple ci-dessus) en mode séquentiel/script,
vous devez d'abord configurer quelques paramètres. Sinon, vous obtiendrez un message d'accès refusé. C'est
pour une raison de sécurité.
Des modifications de paramètres sont nécessaires pour utiliser les commandes de eShell à partir d'une
invite de commande Windows. Pour plus d'informations sur l'exécution des fichiers de commandes
consultez ce lien.
Pour entrer en mode interactif, vous pouvez procéder de deux manières dans eShell :
1. Par le menu Démarrer de Windows : Démarrer > Programmes > ESET > ESET Mail Security > ESET Shell
2. À partir de l'invte de commande de Windows en tapant eshell, puis en appuyant sur la touche Entrée
Si vous obtenez une erreur 'eshell' not recognized as an internal or external command,
cela est dû au fait que de nouvelles variables d'environnement ne sont pas chargées par votre système
après l'installation de ESET Mail Security.
Ouvrez une nouvelle invite de commande et essayez de démarrer eShell à nouveau. Si vous obtenez
toujours une erreur ou que vous avez l'installation principale de ESET Mail Security, démarrez eShell en
utilisant le chemin absolu, par exemple "%PROGRAMFILES%\ESET\ESET Mail
Security\eShell.exe" (vous devez utiliser "" pour que la commande fonctionne).
La première fois que vous exécutez eShell en mode interactif, un écran de première exécution (guide) s'affichera.
Si vous souhaitez afficher le premier écran d'exécution à l'avenir, tapez la commande guide. Elle vous
montre quelques exemples de base de l'utilisation de eShell avec Syntaxe, Préfixe, Chemin de commande,
Formes abrégées, Alias, etc.
Lors de la prochaine exécution de eShell, cet écran s’affiche :
75
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des
majuscules ou des minuscules.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell. Vous pouvez configurer les alias, les couleurs, le
langage, la politique d'exécution pour les scripts, les paramètres pour les commandes cachées et plus encore.
Usage
Syntaxe
Pour pouvoir être utilisées, les commandes doivent être formatées avec la syntaxe appropriée. Elles peuvent
comprendre un préfixe, un contexte, des arguments, des options, etc. Voici la syntaxe générale utilisée dans
l'ensemble d'eShell :
[<prefix>] [<command path>] <command> [<arguments>]
Exemple (permet d'activer la protection du document) :
SET COMPUTER SCANS DOCUMENT REGISTER ENABLED
SET : un préfixe
COMPUTER SCANS DOCUMENT : le chemin d'accès vers une commande particulière, le contexte auquel appartient
la commande
REGISTER : a commande elle-même
ENABLED : un argument pour la commande
L'utilisation de ? comme un argument pour une commande affichera la syntaxe de cette commande particulière.
76
Par exemple, STATUS ?vous affichera la syntaxe de la commande STATUS :
SYNTAXE :
[get] status
OPÉRATIONS :
get : Afficher l'état de tous les modules de protection
Vous remarquerez peut-être que [get] est entre parenthèses. Cela indique que le préfixe getget est la valeur
par défaut pour la commande status. Cela signifie que lorsque vous exécutez status sans spécifier de préfixe,
le préfixe par défaut (dans ce casget status) sera utilisé. L'utilisation de commandes sans préfixe vous fait
gagner du temps lors de la frappe. Généralement, get est le préfixe par défaut de la plupart des commandes,
mais vous devez savoir quel est le préfixe par défaut pour une commande particulière et qu'il correspond
exactement à ce que vous voulez exécuter.
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des
majuscules ou des minuscules.
Préfixe / opération
Un préfixe est une opération. Le préfixe GET vous donne des informations sur la façon dont une certaine
caractéristique de ESET Mail Security est configuré ou vous montre l'état (par exemple GET COMPUTER REALTIME STATUS, affichera l'état actuel de la protection). Le préfixe SET configurera la fonctionnalité ou changera
son état (SET COMPUTER REAL-TIME STATUS ENABLED activera la protection).
Il s'agit des préfixes que eShell utilise. Une commande peut ou non prendre en charge l'un des préfixes suivants :
GET
SET
renvoie le parametre/l'état actuel
regle la valeur/l'état
SELECT Entraîne la sélection d'un élément
ADD
Ajoute un élément
REMOVE Supprime un élément
CLEAR
retire tous les éléments/fichiers
START
Lance une action
STOP
Arrête une action
PAUSE
Met une action en pause
RESUME Reprend une action
RESTORE restaure les parametres/l'objet/le fichier par défaut
SEND
Envoie un objet ou un fichier
IMPORT Importe à partir d'un fichier
EXPORT Exporte dans un fichier
Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes, mais certaines commandes
(telles que EXIT) n'utilisent aucun préfixe.
Chemin d'accès / contexte
Les commandes sont placées dans des contextes formant une structure arborescente. La racine est présentée
77
dans le haut de l'arborescence. Lorsque vous exécutez eShell, vous êtes au niveau de la racine :
eShell>
Vous pouvez exécuter une commande à partir d'ici ou taper le nom du contexte pour naviguer dans
l'arborescence. Par exemple, lorsque vous tapez le contexte TOOLS, toutes les commandes et sous-contextes
disponibles seront énumérés.
Les éléments en jaune sont ceux que vous pouvez exécuter alors que ceux qui sont affichés en gris représentent
des sous-contextes dans lesquels vous pouvez entrer. Un sous-contexte contient d'autres commandes.
Si vous devez retourner à un niveau supérieur, utilisez .. (deux points).
Vous vous trouvez ici :
eShell computer real-time>
Entrez .. pour monter d'un niveau, vers :
eShell computer>
Si vous voulez retourner à la racine à partir de eShell computer real-time> qui se trouve deux niveaux plus
bas que la racine), entrez simplement .. .. (deux points et deux points séparés par une espace). De ce fait, vous
remonterez de deux niveaux, soit jusqu'à la racine, dans ce cas-ci. Utilisez la barre oblique inversée \ pour
retourner directement à la racine à partir de n'importe quel niveau, peu importe la profondeur à laquelle vous
vous trouvez dans l'arborescence. Si vous voulez atteindre un contexte particulier dans les niveaux supérieures,
utilisez simplement le nombre appropriée de commandes .. pour atteindre le niveau voulu, en utilisant une
espace comme séparateur. Par exemple, si vous voulez aller à trois niveaux supérieurs, utilisez .. .. ..
Le chemin d'accès varie selon le contexte actuel. Si la commande est contenue dans le contexte actuel, n'entrez
pas de chemin d'accès. Par exemple, pour exécuter GET COMPUTER REAL-TIME STATUS, entrez :
GET COMPUTER STATUS : si vous êtes dans le contexte racine (la ligne de commande indique eShell>)
GET STATUS : si vous êtes dans le contexte COMPUTER (la ligne de commande indique eShell computer>)
78
.. GET STATUS : si vous êtes dans le contexte COMPUTER REAL-TIME (la ligne de commande indique eShell
computer real-time>)
Vous pouvez utiliser un seul point . (point) au lieu de deux .., parce que un seul point est l'abréviation de deux
points.
. GET STATUS : si vous êtes dans le contexte (la ligne de commande indique eShell computer realtime>
Argument
Un argument est une action qui est effectuée pour une commande spécifique. Par exemple, la commande
CLEAN-LEVEL (située dans COMPUTER REAL-TIME ENGINE) peut être utilisée avec les arguments suivants :
rigorous : Toujours corriger la détection
safe : Corriger la détection si cela est sécuritaire, sinon, la garder
normal : Corriger la détection si cela est sécuritaire, sinon, poser la question
none : Toujours demander à l’utilisateur final
Un autre exemple ce sont les arguments ENABLED ou DISABLED, utilisés pour activer ou désactiver certaines
fonctionnalités.
Forme abrégée / commandes raccourcies
eShell vous permet de raccourcir les contextes, les commandes et les arguments (à la condition que l'argument
soit un commutateur ou une option de rechange). Il n'est pas possible de raccourcir un préfixe ou un argument
comportant des valeurs concrètes comme un numéro, un nom ou un chemin d'accès. Vous pouvez utiliser les
chiffres1 et 0au lieu des arguments ENABLED et DISABLED.
computer set real-time status enabled
computer set real-time status disabled
=>
=>
com set real stat 1
com set real stat 0
Exemples de formes abrégées :
computer set real-time status enabled
=>
com set real stat en
computer exclusions add detection-excludes object C:\path\file.ext
=>
com excl add det obj C:\path\file.ext
computer exclusions remove detection-excludes 1
=>
com excl rem det 1
Dans le cas où deux commandes ou contextes commencent par les mêmes lettres (par exemple ADVANCED et
AUTO-EXCLUSIONS, et que vous entrez A comme commande abrégée), eShell ne pourra pas décider de la
commande à exécuter. Un message d'erreur sera alors affiché, tout comme la liste des commandes commençant
par un « A », parmi lesquelles vous pourrez faire un choix :
eShell>a
La commande suivante n'est pas unique : a
Les sous-contextes suivants sont disponibles dans le contexte COMPUTER :
ADVANCED
AUTO-EXCLUSIONS
79
Si vous ajoutez une ou plusieurs lettres (par exemple, AD au lieu de A), eShell entrera dans le sous-contexte
ADVANCED puisqu'elle est maintenant unique. Il en va de même pour les commandes abrégées.
Lorsque vous voulez être sûr qu'une commande s'exécute comme vous le souhaitez, nous vous
recommandons de ne pas abréger les commandes, les arguments, etc. et d'utiliser plutôt la forme
complète. De cette façon, vous serez certain que eShell exécutera exactement ce que vous voulez et
empêchera les erreurs non voulues. C'est particulièrement vrai pour les fichiers de commandes et les
scripts.
Complétion automatique
La nouvelle fonctionnalité introduite dans eShell 2.0 ressemble au complétage automatique dans l'invite de
commandes Windows. Alors que l'invite de commande Windows complète les chemins d'accès aux fichiers, eShell
complète la commande, le contexte et les noms d'opération. Le complétage d'argument n'est pas pris en charge.
Lorsque vous tapez une commande, appuyez simplement sur la touche TAB pour compléter la commande ou
parcourir les variantes disponibles.
Appuyez sur les touches Maj. + Tab pour parcourir dans le sens inverse. La combinaison de formes abrégées et de
complétion automatique n'est pas prise en charge. Vous devez utiliser soit l'une, soit l'autre.
Par exemple, lorsque vous tapez computer real-time additional vous n'obtiendrez rien en appuyant sur la
touche Tab. Saisissez plutôt com, puis appuyez sur la touche Tab pour compléter à computer; continuez de taper
real + touche Tab et add + touche Tab, puis appuyez sur Entrée. Tapez on + Tab et continuez à appuyer sur la
touche Tab pour faire défiler toutes les variantes disponibles : on-execute-ah, on-execute-ahremovable, on-write-ah, on-write-archive-default, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à la condition qu'un alias ait été
attribué à la commande). Voici quelques alias par défaut :
(global) close : quitter
(global) quit : quitter
(global) bye : quitter
warnlog : événements dans le journal des outils
virlog : détections dans le journal des outils
(global) signifie que la commande peut être utilisée n'importe où, quel que soit le contexte actuel. Plusieurs
alias peuvent être attribués à une commande. Par exemple, la commande EXIT utilise les alias CLOSE, QUIT et
BYE. Lorsque vous voulez quitter eShell, vous pouvez utiliser la commande EXIT elle-même ou l'un de ses alias.
L'alias VIRLOG est un alias de la commande DETECTIONS située dans le contexte TOOLS LOG. De cette façon, la
commande de détection est disponible à partir du contexte ROOT, ce qui facilite son accès (vous n'avez pas besoin
d'entrer le contexteTOOLS, puis le contexte LOG et de l'exécuter directement à partir de ROOT).
eShell vous permet de définir vos alias. La commande ALIAS peut se trouver dans le contexte UI ESHELL.
80
Paramètres protégées par un mot de passe
Les paramètres de ESET Mail Security peuvent être protégés par un mot de passe. Vous pouvez définir un mot de
passe à l'aide de l'IUG ou eShell en utilisant la commande set ui access lock-password.
Vous devrez ensuite entrer ce mot de passe de manière interactive pour certaines commandes (comme celles
utilisées pour modifier les paramètres ou les données). Si vous prévoyez travailler avec eShell pendant une
période de temps plus longue sans avoir à entrer le mot de passe de manière répétitive, vous pouvez demander à
eShell de retenir le mot de passe en utilisant la commande set password (exécuter à partir de root) Votre mot
de passe sera ensuite saisi automatiquement à chaque exécution d'une commande qui nécessite un mot de
passe. Il demeure en mémoire jusqu'à ce que vous quittiez eShell. Vous devrez donc utiliser à nouveau set
password au démarrage d'une nouvelle session et demander à eShell de mémoriser votre mot de passe.
Guide/aide
Lorsque vous exécutez la commande GUIDE ou HELP le système affichera un écran de « première exécution »
expliquant comment utiliser eShell. Cette commande n'est disponible qu'à partir du contexte ROOT (eShell>).
Historique des commandes
eShell conserve l'historique des commandes déjà exécutées. Cela ne s'applique qu'à la session interactive actuelle
de eShell. Lorsque vous quittez eShell, l'historique des commandes est alors effacé. Utilisez les touches fléchées
Haut et Bas de votre clavier pour naviguer dans l’historique. Une fois que vous aurez trouvé la commande que
vous cherchiez, vous pourrez l'exécuter de nouveau ou la modifier, sans avoir à répéter entièrement la
commande du début.
CLS / effacer l'écran
La commande CLS peut être utilisée pour effacer l'écran. Elle fonctionne de la même façon que dans l'invite de
commande de Windows ou dans une autre interface avec ligne de commande semblable.
EXIT / CLOSE / QUIT / BYE
Pour fermer eShell ou en sortir, vous pouvez utiliser n'importe laquelle de ces commandes (EXIT, CLOSE, QUIT
ou BYE).
Commandes
Cette section dresse une liste de quelques commandes de base eShell avec des descriptions.
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des
majuscules ou des minuscules.
Exemple de commandes (contenues dans le contexte ROOT) :
ABOUT
Affiche de l'information sur le programme. Il s'agit par exemple de :
• Nom de votre produit de sécurité ESET installé ainsi que son numéro de version.
81
• Système d'exploitation et renseignements de base sur le matériel.
• Nom d'utilisateur (y compris le domaine), Nom complet de l'ordinateur (FQDN, si votre serveur est un
membre d'un domaine) et le nom de siège.
• Composants installés de votre produit de sécurité ESET, y compris le numéro de version de chaque
composant.
CHEMIN DE CONTEXTE :
root
PASSWORD
En temps normal, pour pouvoir exécuter des commandes protégées par mot de passe, vous serez invité à entrer
un mot de passe, et ce, à des fins de sécurité. Cela s'applique à des commandes comme celles qui désactivent la
protection et à celles qui peuvent avoir des répercussions sur la configuration de ESET Mail Security. Vous serez
invité à entrer un mot de passe chaque fois que vous exécutez une telle commande. Vous pouvez définir ce mot
de passe pour ne pas avoir à l'entrer chaque fois. Celui-ci sera gardé en mémoire par eShell et il sera entré
automatiquement, lorsqu'une commande protégée par mot de passe est exécutée.
Votre mot de passe ne peut être utilisé que dans la session interactive eShell en cours. Une fois que vous
quitterez eShell, ce mot de passe défini sera supprimé. Lorsque vous redémarrerez eShell, vous devrez
définir de nouveau le mot de passe.
Le mot de passe défini est aussi utile lorsque vous exécutez des fichiers séquentiels ou des scripts de commandes
non signés. Assurez-vous de mettre la politique d'exécution d'ESET Shell) à Accès complet lors de l'exécution de
fichiers séquentiels non signés. Voici un exemple d'un tel fichier :
eshell set password plain <yourpassword> "&" computer set real-time status disabled
Cette commande concaténée définira un mot de passe et désactivera la protection.
Nous vous recommandons d'utiliser des fichiers séquentiels signés chaque fois que cela est possible. En
procédant ainsi, vous évitez d'avoir un mot de passe texte dans le fichier séquentiel (si vous utilisez la
méthode décrite ci-dessus). Voir Fichiers séquentiels/ Scripts (section Fichiers séquentiels signés) pour plus
de détails.
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore password
set password [plain <password>]
OPÉRATIONS :
get : Afficher le mot de passe
set : Régler ou effacer le mot de passe
82
restore : Effacer le mot de passe
ARGUMENTS :
plain : Passez à la saisie du mot de passe en tant que paramètre
password : Mot de passe
set password plain <yourpassword> : Règle un mot de passe qui sera utilisé pour les commandes
protégées par mot de passe
restore password : Effacer le mot de passe
get password : Utilisez cette commande pour voir si le mot de passe est configuré ou non (n'affiche que
des astérisques "*", n'indique pas le mot de passe lui-même). Lorsqu'aucun astérisque n'est visible, cela
signifie qu'aucun mot de passe n'a été réglé
set password plain <yourpassword> : Utilisé pour régler le mot de passe défini
restore password : Cette commande efface le mot de passe défini
STATUS
Affiche des informations sur l'état actuel de la protection en temps réel de ESET Mail Security; vous permet
également de suspendre/reprendre la protection (comme dans la fenêtre principale du programme).
CHEMIN DE CONTEXTE :
computer real-time
SYNTAXE :
[get] status
set status enabled | disabled
[ 10m | 30m | 1h | 4h | temporary ]
restore status
OPÉRATIONS :
get : Renvoie le paramètre ou l'état actuel
set : Règle la valeur ou l'état
restore : Restaure les paramètres, l'objet ou le fichier par défaut
ARGUMENTS :
enabled : Activer la protection/fonctionnalité
disabled : Désactiver la protection/fonctionnalité
10m : Désactiver pendant 10 minutes
30m : Désactiver pendant 30 minutes
1h : Désactiver pendant 1 heure
83
4h : Désactiver pendant 4 heures
temporary : Désactiver jusqu'au redémarrage
Vous ne pouvez pas désactiver toutes les fonctionnalités de protection avec une seule commande. En
utilisant la commande status, vous pouvez gérer les fonctionnalités de protection et les modules un par
un. Chaque fonctionnalités de protection ou module possède sa propre commande status.
Liste des caractéristiques avec la commande status :
Fonctionnalité
Contexte et commande
Exclusions automatiques
COMPUTER AUTO-EXCLUSIONS STATUS
Host Intrusion Prevention System (HIPS)
COMPUTER HIPS STATUS
Protection en temps réel du système de fichiers COMPUTER REAL-TIME STATUS
Contrôle de périphérique
DEVICE STATUS
Protection contre les réseaux de zombies
NETWORK ADVANCED STATUS-BOTNET
Protection contre les attaques réseau (IDS)
NETWORK ADVANCED STATUS-IDS
Isolation du réseau
NETWORK ADVANCED STATUS-ISOLATION
Grappe ESET
TOOLS CLUSTER STATUS
Journalisation de diagnostic
TOOLS DIAGNOSTICS STATUS
Mode Présentation
TOOLS PRESENTATION STATUS
Protection anti-hameçonnage
WEB-AND-EMAIL ANTIPHISHING STATUS
Protection du client de messagerie
WEB-AND-EMAIL MAIL-CLIENT STATUS
Protection de l'accès Web
WEB-AND-EMAIL WEB-ACCESS STATUS
VIRLOG
C'est un alias de la commande DETECTIONS. Cette commande est utile lorsque vous devez afficher des
informations sur les infiltrations détectées.
WARNLOG
C'est un alias de la commande EVENTS. Cette commande est utile lorsque vous devez afficher des informations
sur divers événements.
Raccourcis clavier
Le eShell prend en charge les raccourcis clavier (tout comme l’invite de commandes de Microsoft Windows
cmd.exe). Utilisez certaines touches (combinaisons de touches) de votre clavier pour effectuer des actions dans
eShell. Par exemple, affichez l’historique des commandes, répétez une partie de la commande d’historique,
déplacez un mot ou effacez une ligne.
Raccourcis disponibles :
F1 : imprimer des caractères de la commande d’historique un par un.
F2, X : répéter une partie de la commande d’historique; jusqu’au caractère X.
F3 : écrire la commande d’historique.
84
F4, X : à partir de la position actuelle du curseur sur la commande; supprimer jusqu’au caractère X.
F5 : similaire à la FLÈCHE VERS LE HAUT.
F7 : afficher l’historique des commandes.
ALT + F7 : effacer l’historique des commandes.
F8 : reculer dans l’historique des commandes, mais afficher uniquement les commandes correspondant au texte
actuel de l’invite de commandes.
F9 : exécuter une commande spécifique à partir de l’historique des commandes.
FLÈCHE DROITE : similaire à F1.
CTRL + ACCUEIL : effacer la ligne vers la gauche.
CTRL + FIN : effacer la ligne vers la droite.
CTRL + FLÈCHE GAUCHE : déplacer un mot vers la gauche.
CTRL + FLÈCHE DROITE : déplacer un mot vers la droite.
Fichiers séquentiels/script
Vous pouvez utiliser eShell comme un outil puissant pour l'automation. Pour utiliser un fichier séquentiel avec
eShell, créez-en un avec un eShell et une commande intégrés.
eshell get computer real-time status
Vous pouvez aussi utiliser une chaîne de commande, ce qui est parfois nécessaire. Par exemple si vous voulez
obtenir un type d'une tâche planifiée spécifique, entrez la ligne suivante :
eshell select scheduler task 4 "&" get scheduler action
Normalement, la sélection d'un élément (tâche numéro 4 dans ce cas) s'applique seulement à une instance en
cours d'exécution d'eShell. Dans le cas où vous voudriez exécuter ces deux commandes l'une après l'autre, la
seconde commande se solderait par un échec avec comme message d'erreur : « "No task selected or
selected task no longer exists" ».
Pour des raisons de sécurité, la politique d'exécution est définie par défaut à Script limité. Cela vous permet
d'utiliser eShell comme outil de surveillance, mais il vous sera impossible d'apporter des modifications à la
configuration de ESET Mail Security en exécutant un script. Si vous essayez d'exécuter un script à l'aide d'une
commande qui peut avoir une incidence sur la sécurité, par exemple, en désactivant la protection, le message
Accès refusé sera affiché. Nous vous recommandons d'utiliser des fichiers séquentiels signés.pour exécuter des
commandes qui apportent des modifications à la configuration.
Pour modifier la configuration à l'aide d'une seule commande entrée manuellement dans l'invite de commandes
Windows, vous devez accorder un accès complet à eShell (non recommandé). Pour donner l'accès complet,
utilisez la commande ui eshell shell-execution-policy en mode Interactif d'eShell, ou passez par l'IUG
dans Configuration avancée (F5)> Interface utilisateur > ESET Shell.
85
Les fichiers séquentiels signés
eShell vous permet de sécuriser les fichiers de lot courants (*.bat) avec une signature. Les scripts sont signés avec
le même mot de passe que celui utilisé pour la protection des paramètres. Pour signer un script, vous devez
d’abord activer la protection des paramètres. Cela peut se faire via la fenêtre principale du programme ou dans
eShell en utilisant la commande set ui access lock-password. Vous pouvez commencer à signer les
fichiers de lot lorsque le mot de passe de protection est configuré.
Vous devez signer à nouveau tous les scripts si vous modifiez le mot de passe de protection de vos
paramètres. Sinon, les scripts ne parviendront pas à exécuter la modification de mot de passe suivante. Le
mot de passe que vous entrez lorsque vous signez un script doit correspondre au mot de passe de la
protection des paramètres sur le système cible.
Pour signer un fichier séquentiel, exécutez sign <script.bat> à partir du contexte racine d'eShell, où
script.bat est le chemin vers le script que vous voulez signer. Entrez et confirmez le mot de passe qui sera utilisé
pour la signature. Ce mot de passe doit correspondre au mot de passe de la protection des paramètres. La
signature est placée à la fin du fichier séquentiel sous la forme d'un commentaire. Dans le cas où ce script a déjà
été signé, l'ancienne signature sera remplacée par la nouvelle.
Lorsque vous modifiez un fichier séquentiel déjà signé, ce dernier doit être signé de nouveau.
Pour exécuter un fichier séquentiel signé à l'aide de l'invite de commande Windows ou en tant que tâche
planifiée, utilisez la commande suivante :
eshell run <script.bat>
Où script.bat est le chemin vers le fichier séquentiel.
eshell run d:\myeshellscript.bat
ESET LiveGuard Advanced
ESET LiveGuard Advanced fournit une autre couche de sécurité en utilisant la technologie infonuagique avancée
d'ESET pour détecter les menaces de type nouveau, jamais vues auparavant. C'est un service payant; bien qu'il
soit semblable à ESET LiveGrid®, ESET LiveGuard Advanced vous donne l'avantage d'être protégé contre les
conséquences possibles causées par de nouvelles menaces. Si ESET LiveGuard Advanced détecte un code ou un
comportement suspects, il empêche toute activité supplémentaire de la menace en la plaçant temporairement en
quarantaine de ESET LiveGuard Advanced.
Un échantillon suspect (fichier ou courriel) est automatiquement soumis au nuage d’ESET, où le serveur ESET
LiveGuard Advanced analyse l’échantillon à l’aide de ses moteurs de détection de logiciels malveillants de pointe.
Pendant que les fichiers ou les courriels sont dans la quarantaine de ESET LiveGuard Advanced, ESET Mail Security
attend les résultats du serveur ESET LiveGuard Advanced.
Une fois l'analyse terminée, votre ESET Mail Security reçoit un rapport avec un résumé du comportement de
l'échantillon observé. Si l'échantillon s'avère inoffensif, il est libéré de la quarantaine de ESET LiveGuard
Advanced, sinon, il est gardé en quarantaine. S'il s'agit d'un faux positif et que vous êtes sûr que le fichier ou le
courriel n'est pas une menace, vous pouvez le libérer manuellement de la quarantaine de ESET LiveGuard
Advanced avant que ESET Mail Security ne reçoive les résultats du serveur ESET LiveGuard Advanced.
Les résultats de ESET LiveGuard Advanced pour les échantillons sont généralement disponibles en quelques
86
minutes pour les courriels. Toutefois, l'intervalle d'attente par défaut est de 5 minutes. Dans de rares cas, lorsque
les résultats de ESET LiveGuard Advanced ne sont pas disponibles dans l'intervalle, le message est libéré. Vous
pouvez changer l'intervalle à l'heure que vous préférez (entre 5 et 60 minutes, par incréments de 1 minute).
La fonction ESET LiveGuard Advanced est visible dans ESET Mail Security indépendamment de son statut
d'activation. Si vous n'avez pas de licence, ESET LiveGuard Advanced est inactif. La licence de ESET LiveGuard
Advanced est gérée par ESET PROTECT et l'activation elle-même doit être effectuée à partir de ESET PROTECT en
utilisant une stratégie.
Une fois que vous avez activé ESET LiveGuard Advanced, votre propre profil ESET LiveGuard Advanced sera créé
sur le serveur ESET LiveGuard Advanced. Ce profil va stocker tous les résultats d'analyse de ESET LiveGuard
Advanced des échantillons soumis par votre ESET Mail Security.
Pour activer la fonctionnalité ESET LiveGuard Advanced, vous devez répondre aux conditions suivantes :
ESET Mail Security géré par l'entremise de ESET PROTECT
ESET Mail Security activé en utilisant la licence ESET LiveGuard Advanced
Activez ESET LiveGuard Advanced dans votre ESET Mail Security en utilisant la stratégie ESET PROTECT
Vous êtes alors en mesure de tirer pleinement parti de ESET LiveGuard Advanced, ainsi que d'envoyer
manuellement un échantillon de fichier pour analyse ESET LiveGuard Advanced.
87
ESET SysInspector
ESET SysInspector est une application qui inspecte complètement votre ordinateur et collige de l'information
détaillée sur les composants système, tels que les pilotes et applications installés, les connexions réseau ou des
entrées de registre importantes, et évalue le niveau de risque de chacun des composants.
Ces données peuvent aider à déterminer la cause d'un comportement suspect du système pouvant être dû à une
incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant.
Cliquez sur Créer et entrez un bref Commentaire décrivant le journal à créer. Veuillez patienter jusqu'à ce que le
journal ESET SysInspector soit prêt (état indiquant Créé). La création d'un journal peut demander un certain
temps selon la configuration de votre matériel informatique et des données du système.
La fenêtre ESET SysInspector affiche les données suivantes sur les journaux créés :
• Heure - L'heure de création du journal.
• Commentaire - Un bref commentaire.
• Utilisateur - Le nom de l'utilisateur ayant créé le journal.
• État - L'état de création du journal.
Les actions suivantes sont disponibles :
• Afficher : Ouvre le journal créé. Vous pouvez aussi cliquer à l'aide du bouton droit de la souris sur un
fichier journal et sélectionner Afficher à partir du menu contextuel.
• Créer : Crée un journal. Entrez un bref commentaire décrivant le journal à créer, puis cliquez sur le bouton
Créer. Patientez jusqu'à ce que le journal ESET SysInspector soit prêt (État indiquant Créé).
• Supprimer - Supprime les journaux sélectionnés de la liste.
Après avoir cliqué à droite pour sélectionner un ou plusieurs journaux, les options suivantes s'afficheront, dans le
menu contextuel :
• Afficher - Ouvre le journal sélectionné dans ESET SysInspector (ou double-cliquez sur un journal pour la
même fonction).
• Créer : Crée un journal. Entrez un bref commentaire décrivant le journal à créer, puis cliquez sur le bouton
Créer. Patientez jusqu'à ce que le journal ESET SysInspector soit prêt (État indiquant Créé).
• Supprimer - Supprime les journaux sélectionnés de la liste.
• Supprimer tout - Supprime tous les journaux.
• Exporter : Exporte le journal dans le fichier .esil. Vous pouvez également choisir un fichier .xml ou un
fichier compressé .xml.
88
ESET SysRescue Live
ESET SysRescue Live est un utilitaire gratuit qui vous permet de créer un CD/DVD ou une clé USB de secours
amorçables. Vous pouvez démarrer un ordinateur infecté à partir de votre support de secours, puis rechercher
des logiciels malveillants et nettoyer les fichiers infectés.
Le principal avantage d'ESET SysRescue Live est le fait que la solution ESET Security s'exécute indépendamment
du système d'exploitation hôte, tout en ayant un accès direct au disque et au système de fichier. Cela permet de
retirer des menaces qui, dans des circonstances normales, ne pourraient pas être supprimées, par exemple
lorsque le système d'exploitation est en cours d'exécution, etc.
Planificateur
Le planificateur gère et lance les tâches planifiées en fonction de paramètres définis. Vous pouvez voir une liste
de toutes les tâches planifiées sous la forme d'un tableau qui affiche leurs paramètres tels que le type et le nom
de la tâche, l'heure de lancement et la dernière exécution. Vous pouvez aussi créer de nouvelles tâches planifiées
en cliquant sur Ajouter une tâche. Pour modifier la configuration d'une tâche planifiée existante, cliquez sur le
bouton Modifier. Pour rétablir les paramètres par défaut de la liste des tâches planifiées, cliquez sur Défaut, puis
sur Rétablir par défaut et toutes les modifications qui ont été effectuées seront perdues. Cette action ne peut pas
être annulée.
Il existe un ensemble de tâches prédéfinies par défaut :
• Maintenance des journaux
• Mise à jour automatique régulière (utilisez cette tâche pour mettre à jour la fréquence)
• Mise à jour automatique après une connexion commutée
• Mise à jour automatique après ouverture de session utilisateur
• Vérification automatique des fichiers au démarrage (après ouverture de session utilisateur)
• Vérification automatique des fichiers au démarrage (après mise à jour réussie des modules)
Cochez les cases appropriées pour activer ou désactiver les tâches.
89
Pour effectuer les actions suivantes, cliquez avec le bouton droit sur une tâche :
Afficher les détails des
tâches
Affiche des informations détaillées sur une tâche planifiée lorsque vous doublecliquez ou cliquez avec le bouton droit sur la tâche planifiée.
Exécuter maintenant
Exécute une tâche de planificateur sélectionnée et exécute la tâche immédiatement.
Ajouter...
Lance un assistant qui vous aidera à créer une nouvelle tâche de planificateur.
Modifier...
Permet de modifier la configuration d'une tâche planifiée existante (par défaut et
définie par l'utilisateur).
Supprimer
Supprime une tâche existante.
Planificateur - Ajouter une tâche
Pour créer une nouvelle tâche planifiée :
1. Cliquez sur Ajouter la tâche.
2. Entrez un nom de tâche et configurez votre tâche planifiée personnalisée.
3. Type de tâche : Sélectionnez le type de tâche applicable dans le menu déroulant.
90
Pour désactiver la tâche, cliquez sur la glissière à côté de Activée. Pour activer la tâche plus tard, utilisez la
case à cocher dans l'affichage du Planificateur.
4. Exécution de la tâche : Sélectionnez l'une des options pour définir le moment d'exécution de votre tâche.
Selon votre choix, vous serez invité à choisir une heure, un jour, un intervalle ou un événement spécifique.
91
5. Tâche ignorée : Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment
où elle sera exécutée.
6. Exécuter l'application : S'il est prévue que la tâche démarre une application externe, choisissez un fichier
exécutable dans l'arborescence.
7. Si vous devez apporter des modifications, cliquez sur Retour pour revenir aux étapes précédentes et
modifier les paramètres.
92
8. Cliquez sur Terminer pour créer la tâche ou pour appliquer les modifications.
Une nouvelle tâche planifiée apparait dans l'affichage du Planificateur.
Type de la tâche
L'assistant de configuration des tâches planifiées est différent pour chaque type de tâche. Entrez le nom de la
tâche et sélectionnez le type de tâche souhaité à partir du menu déroulant :
• Exécuter une application externe : Planifie l'exécution d'une application externe. Vous pouvez utiliser un
compte spécifique pour exécuter la tâche planifiée à l’aide de l’option (Exécuter la tâche sous un compte
spécifique).
• Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés.
Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent
fonctionner de façon efficace.
• Contrôle des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au
démarrage du système ou lors de l'ouverture de session.
• Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateurESET SysInspector recueille des renseignements détaillés sur les composants du système (pilotes, applications, par ex.) et
évalue le niveau de risque de chacun des composants.
• Analyse de l’ordinateur à la demande : Permet d’analyser les fichiers et les dossiers stockés localement
ou sur un réseau en partage (stockage partagé, tel que le NAS). Utilisez un compte spécifique pour exécuter
la tâche planifiée à l’aide de l’option (Exécuter la tâche sous un compte spécifique).
• Mise à jour: Planifie une tâche de mise à jour dont le but est de mettre à jour le moteur de détection et
les modules du programme.
• Analyse de la base de données de la boîte de messagerie - Vous permet de planifier une analyse de base
de données et de choisir les éléments qui seront analysés. Il s'agit en fait d'une Analyse de base de données
à la demande.
Si la protection de la base de données de la boîte de courriel est activée, vous pouvez quand même
programmer cette tâche, mais le message d'erreur Analyse de la base de données de la boîte de
messagerie - Analyse interrompue en raison d'une erreur sera affiché dans la section Analyse de fenestre
principale. Pour éviter cela, vous devez vous assurer que la protection de la base de données de la boîte de
courriels est désactivée à l'heure à laquelle l'Analyse de la base de données de la boîte de courriels est
programmée.
• Envoi des rapports de courriels mis en quarantaine : Planifie l'envoi par courriel du rapport de mise en
quarantaine de courriels.
• Envoi des rapports administrateurs de courriels mis en quarantaine : Planifie l'envoi par courriel du
rapport de mise en quarantaine de courriels.
• Analyse en arrière-plan - Donne au serveur Exchange la possibilité d'exécuter une analyse de base de
données en arrière plan si nécessaire.
• Analyse Hyper-V : Planifie une analyse des disques virtuels dans Hyper-V.
93
• Analyse d'Office 365 - Planifie une analyse pour les environnements hybrides Office 365..
Si vous souhaitez désactiver la tâche une fois qu'elle est créée, cliquez sur le bouton à côté de Activée. Vous
pouvez activer la tâche plus tard en utilisant la case à cocher dans l'affichage Planificateur. Cliquez sur Suivant
pour passer à l'étape suivante.
Exécution de la tâche
Sélectionnez l'une des options de calendrier suivantes :
• Une fois - La tâche ne sera exécutée qu'une fois, à la date et à l'heure définies. Cette option permet
d'exécuter la tâche une seule fois, à un moment donné. Spécifiez la date et l'heure de début pour une
exécution unique dans Exécution de la tâche.
• Plusieurs fois : La tâche sera exécutée à l'intervalle de temps indiqué (en minutes). Spécifiez l'heure à
laquelle la tâche sera exécutée tous les jours dans Exécution de la tâche.
• Quotidiennement - La tâche sera exécutée de façon répétée tous les jours à l'heure indiquée.
• Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au(x) jour(s)
définis. Cette option permet d'exécuter la tâche plusieurs fois, seulement certains jours de la semaine, en
commençant par le jour et l'heure spécifiés. Indiquez l'heure de début dans Heure d'exécution de la tâche.
Sélectionnez le ou les jours de la semaine où la tâche doit être exécutée.
• Déclenchée par un événement : La tâche sera exécutée lorsque l'événement indiqué se produira.
Si vous activez l'option Ignorer la tâche lors du fonctionnement sur batterie, aucune tâche ne sera exécutée si
l'ordinateur est alimenté par batterie au moment ou elle doit démarrer. Cela concerne par exemple les
ordinateurs fonctionnant sur UPS.
Exécuter la tâche sous un compte spécifique : Définissez le nom d’utilisateur et le mot de passe d’un compte
spécifique pour exécuter une tâche planifiée Exécuter l’application externe ou l’analyse de l’ordinateur à la
demande. Utilisez cette option pour exécuter l’analyse de l’ordinateur à la demande si vous souhaitez analyser le
partage réseau, par exemple, le stockage en réseau ou tout autre stockage partagé.
Assurez-vous que le compte d’utilisateur que vous utilisez pour exécuter une tâche sous un compte
spécifique est autorisé à se connecter en tant que tâche par lots (SeBatchLogonRight). Vous pouvez
vérifier les paramètres de politique à l’aide de l’outil de gestion des politiques de groupe (Paramètres de
sécurité > Politiques locales > Attribution des droits d'utilisation > Se connecter en tant que tâche par lots).
Déclenchée par un événement
Vous pouvez préciser l'intervalle de temps minimum entre deux exécutions de la tâche déclenchée par
événement.
Un des événements suivants peut déclencher la tâche :
• Chaque fois que l'ordinateur démarre
• Chaque jour au premier démarrage de l'ordinateur
94
• Connexion commutée à Internet/VPN
• Mise à jour réussie de module
• Mise à jour réussie de produit
• Connexion utilisateur : la tâche est déployée lorsque l'utilisateur se connecte au système. Si vous vous
connectez plusieurs fois par jour à votre ordinateur, choisissez 24 heures pour effectuer la tâche
uniquement lors de la première connexion du jour, puis le jour suivant.
• Détection de menace
Exécuter l'application
Cette tâche permet de programmer l'exécution d'une application externe.
• Fichier exécutable - Choisissez un fichier exécutable dans l'arborescence de répertoire, cliquez sur
naviguer ou entrez manuellement le chemin d'accès.
• Dossier de travail - Définit le dossier de travail de l'application externe. Tous les fichiers temporaires du
Fichier exécutable sélectionné seront créés dans ce dossier.
• Paramètres : Paramètres de ligne de commande à utiliser pour l'application (facultatif).
Tâche ignorée
Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera
exécutée :
• À la prochaine heure planifiée : La tâche sera exécutée à l'heure précisée (par exemple, après 24 heures).
• Dès que possible : la tâche sera exécutée dès que possible, lorsque les actions qui empêchent l'exécution
de la tâche ne sont plus valides.
• Immédiatement si le temps écoulé depuis la dernière exécution dépasse une valeur spécifiée. Temps
depuis la dernière exécution (heures) : une fois cette option sélectionnée, la tâche sera toujours répétée
après la durée indiquée (en heures).
Aperçu des tâches planifiées
Cette fenêtre de dialogue affiche des informations détaillées au sujet de la tâche planifiée lorsque vous doublecliquez sur la tâche dans l'affichage Planificateur ou lorsque vous effectuez un clic droit sur la tâche planifiée et
choisissez Afficher les détails de la tâche.
Envoyer les échantillons pour analyse...
La boîte de dialogue d'envoi d'échantillon vous permet d'envoyer un fichier ou un site à ESET pour analyse. Si
vous trouvez un fichier qui se comporte de manière suspecte sur votre ordinateur ou un site suspect sur Internet,
95
envoyez-le à ESET Virus Lab pour analyse. Si le fichier s'avère être une application ou un site Web malveillant, le
site ou le fichier détecté sera ajouté à une mise à jour à venir.
Pour envoyer un ou plusieurs fichiers par courriel, comprimez-les en utilisant un programme comme WinRAR ou
WinZip, protégez l'archive avec le mot de passe infected et envoyez-la à samples@eset.com. Utilisez un sujet
descriptif et joignez autant d'informations que possible sur les fichiers (par exemple, le site Web sur lequel vous
les avez téléchargés).
Avant d'envoyer un échantillon à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants :
• le fichier ou le site Web n'est pas du tout détecté
• le fichier ou le site Web est détecté à tort comme une menace
• Nous n'acceptons pas vos fichiers personnels (ceux que vous souhaitez faire analyser par ESET à la
recherche de logiciels malveillants) comme échantillons (ESET Research Lab n'effectue pas d'analyses à la
demande pour les utilisateurs)
• Utilisez un sujet descriptif et joignez autant d'informations que possible sur les fichiers (par exemple, le
site Web sur lequel vous les avez téléchargés).
Si au moins l'une des conditions ci-dessus n'est pas remplie, vous ne recevrez pas de réponse tant que des
informations supplémentaires n'auront pas été fournies.
Sélectionnez la description qui correspond le mieux à votre message à partir du menu déroulant Raison de l'envoi
de l'échantillon :
• Fichier suspect
• Site suspect (un site Web infecté par un logiciel malveillant),
• Fichier faux positif (fichier signalé comme infecté, mais qui ne l'est pas),
• Site faux positif
• Autre
Fichier/Site
Le chemin d'accès au fichier ou au site Web que vous voulez envoyer.
Adresse courriel du contact
L'adresse de courriel du contact est envoyée avec les fichiers suspects à ESET et peut être utilisée pour
communiquer avec vous si des renseignements complémentaires sont nécessaires pour l'analyse. L'entrée de
l'adresse courriel est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des renseignements
complémentaires sont nécessaires pour l'analyse. Comme nos serveurs reçoivent quotidiennement des dizaines
de milliers de fichiers, il nous est impossible de répondre à tous les envois.
Envoyer anonymement
Utilisez la case à cocher Envoyer anonymement pour envoyer un fichier ou un site Web suspect sans entrer votre
adresse électronique.
96
Fichier suspect
Signes et symptômes d'une infection observés
Entrez une description du comportement du fichier suspect observé sur votre ordinateur.
Origine du fichier (adresse URL ou fournisseur)
Entrez l'origine du fichier (la source) et indiquez comment vous avez obtenu ce fichier.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui permettront d’identifier le
fichier suspect.
Le premier paramètre - Signes et symptômes d'une infection par un logiciel malveillant - est requis, mais
tout renseignement supplémentaire aidera grandement nos laboratoires lors du processus d'identification
des échantillons.
Site suspect
Sélectionnez l'une des options suivantes à partir du menu déroulant Quel est le problème avec le site :
Infecté
Un site Web qui contient des virus ou d'autres logiciels malveillants diffusés par différentes méthodes.
Hameçonnage
L'hameçonnage est souvent utilisé pour accéder à des données sensibles, telles que les numéros de comptes
bancaires, les NIP, etc. Pour en savoir plus sur ce type de Attaque, consultez le glossaire.
Canular
Une escroquerie ou un site Web frauduleux.
Autre
Utilisez cette option si aucune des options ci-dessus ne s'applique au site que vous allez envoyer.
Notes et autres informations
Vous pouvez entrer des informations supplémentaires ou une description qui pourrait aider à analyser le site Web
suspect.
Fichier faux positif
Nous vous demandons d'envoyer les fichiers qui ont été signalé comme infecté, alors qu'ils ne le sont pas, et ce,
afin de nous aider à améliorer notre moteur de détection et d'aider les autres à rester protégés. Les faux positifs
(FP) peuvent se produire lorsque le modèle d'un fichier correspond au modèle contenu dans un moteur de
97
détection.
Trois premiers paramètres sont requis pour identifier les applications légitimes et les distinguer des
programmes malveillants. Le fait de fournir de l'information supplémentaire aidera grandement nos
laboratoires lors du processus d'identification et du traitement des échantillons.
Nom et version de l'application
Titre et version du programme (numéro, alias ou nom de code).
Origine du fichier (adresse URL ou fournisseur)
Entrez l'origine du fichier (la source) et indiquez comment vous avez obtenu ce fichier.
Fonction de l'application
La description générale de l'application, le type d'application (par ex., navigateur, lecteur multimédia, etc.) et sa
fonction.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront le traitement du
fichier suspect.
Site faux positif
Nous vous encourageons à nous envoyer les sites qui ont été détecté comme étant infectés, frauduleux ou
d'hameçonnage, mais qui ne le sont pas. Les faux positifs (FP) peuvent arriver lorsque le modèle d'un fichier
correspond au modèle contenu dans un moteur de détection. Veuillez fournir ce site web pour améliorer notre
moteur de détection et aider les autres à être protégés.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront le traitement du
fichier suspect.
Autre
Utilisez ce formulaire si le fichier ne peut être catégorisé comme Fichier suspect ou comme Faux positif.
Raison de la soumission du fichier
Entrez une description détaillée ainsi que la raison de l'envoi du fichier.
Quarantaine
La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis
en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont
détectés par erreur par ESET Mail Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il
98
est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur de
logiciels malveillants. Les fichiers en quarantaine peuvent ensuite être envoyés pour analyse au laboratoire ESET
Virus Lab.
Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et
l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la
raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par exemple, s'il s'agit d'une
archive contenant plusieurs infiltrations).
Dans le cas où des objets de messagerie sont mis dans le fichier de quarantaine, le chemin d'accès à la boîte aux
lettres/dossier/nom de fichier s'affiche.
Mise de fichiers en quarantaine
ESET Mail Security envoie automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désactivé
cette option dans la fenêtre d'alerte). Pour mettre manuellement en quarantaine tout fichier suspect clquez sur
Quarantaine. Les fichiers mis en quarantaine seront supprimés de leur emplacement original. Il est également
possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le bouton droit dans la fenêtre
Quarantaine et de sélectionner Quarantaine.
Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour ce faire, utilisez la
fonctionnalité Restaurer du menu contextuel après avoir cliqué avec le bouton droit sur un fichier indiqué dans la
fenêtre de quarantaine. Si un fichier est signalé comme application potentiellement indésirable , l'option
Restaurer et exclure de l'analyse sera offerte. Le menu contextuel offre également l'option Restaurer vers... qui
permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés.
99
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, veuillez
l'exclure de l'analyse et l'envoyer au Service à la clientèle ESET.
Soumission d'un fichier de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé
infecté par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au
laboratoire ESET Virus Lab. Pour soumettre un fichier mis en quarantaine, cliquez sur ce dernier avec le bouton
droit de la souris, puis, dans le menu contextuel, sélectionnez Soumettre pour analyse.
Supprimer de la quarantaine
Cliquez avec le bouton droit sur un élément donné et sélectionnez Supprimer de la quarantaine. Ou sélectionnez
les éléments applicables et appuyez sur Suppr. sur votre clavier.
Assistant d’analyse des boîtes aux lettres Microsoft 365
ESET Mail Security prend en charge l’analyse des boîtes aux lettres distantes Microsoft 365 et des dossiers publics,
comme l’analyse de la base de données de boîtes aux lettres à la demande traditionnelle. Pour activer cette
fonctionnalité, enregistrez votre analyseur ESET Mail Security.
Liens rapides
• Enregistrer l’analyseur ESET Mail Security
• Annuler l’enregistrement de l’analyseur ESET Mail Security
Pour commencer à utiliser ESET Mail Security, qui est votre analyseur de base de données de boîtes aux lettres
Microsoft 365, enregistrez l’analyseur ESET Mail Security dans Microsoft Azure. La page de configuration de
l'analyse des boîtes aux lettres Microsoft 365 indique l'état de l'enregistrement. Si vous êtes déjà enregistré, vous
verrez les détails de l'enregistrement (ID du client, ID de l'application, ID de l'objet et empreinte du certificat).
Vous pouvez enregistrer ou annuler l’enregistrement de l’analyseur ESET Mail Security :
100
Après une inscription réussie, l’analyse de la base de données de boîtes aux lettres Microsoft 365 devient
disponible dans le menu Analyse affichant une liste de boîtes aux lettres et de dossiers publics qui peuvent être
sélectionnés pour l’analyse.
Nouvel enregistrement avec un autre compte : Si vous voulez enregistrer l’analyseur ESET Mail Security
avec un nouveau compte Microsoft 365, vous devez annuler l’enregistrement de l’analyseur ESET Mail
Security que vous utilisiez avec votre ancien compte, et effectuer un enregistrement avec le nouveau
compte administrateur Microsoft 365.
Vous trouverez votre analyseur ESET Mail Security enregistré en tant qu'application dans Microsoft Azure. Cliquez
sur Azure Active Directory > Enregistrements d'applications, cliquez sur Afficher toutes les applications; vous
verrez l’analyseur ESET Mail Security dans la liste. L'application ESET OneDrive Scanner s'affiche.
Enregistrer l’analyseur ESET Mail Security
Utilisez la procédure suivante pour enregistrer l'application d'analyse ESET Mail Security auprès de Microsoft
Azure afin d'activer l'analyse de la base de données des boîtes aux lettres Microsoft 365 :
1. Cliquez sur Enregistrer pour commencer l’enregistrement de l’analyseur ESET Mail Security, et un assistant
d’enregistrement s’ouvre.
101
2. Copiez le code fourni, cliquez sur la page Ouvrir l'authentification et entrez le code.
102
3. La page Choisissez un compte de Microsoft s'ouvre dans le navigateur Web. Choisissez le compte que vous
utilisez, s'il est disponible, ou entrez vos informations d'identification de compte administrateur Microsoft 365
et cliquez sur Connexion.
4. L'application d'analyse ESET Mail Security requiert trois types d'autorisations énumérées dans le message
d'acceptation. Cliquez sur Accepter pour autoriser l’analyseur ESET Mail Security à accéder à vos données
Microsoft 365.
5. Fermez le navigateur Web et attendez que l'enregistrement de l'analyseur ESET Mail Security soit terminé.
Vous verrez le message indiquant que l'enregistrement a réussi.
103
6. Dossiers publics (facultatif)
Si vous souhaitez analyser des dossiers publics, fournissez un nom de compte d’utilisateur principal (mot de passe
non requis) pour l’emprunt d’identité. Assurez-vous que la configuration de ce compte d’utilisateur ait accès à
tous les dossiers publics. Cliquez sur Terminé.
Annuler l’enregistrement de l’analyseur ESET Mail
Security
Le processus de désenregistrement vous permet de supprimer le certificat et l’application d’analyse ESET Mail
Security de Microsoft Azure. Ce processus supprime également les dépendances locales et rend l'option
Enregistrer à nouveau disponible.
1. Cliquez sur Configuration > Serveur > Analyse des boîtes aux lettres Microsoft 365, puis sur Annuler
l’enregistrement pour commencer le processus de suppression de l’analyseur ESET Mail Security. Un assistant
d’annulation d’enregistrement s'ouvre.
104
2. Cliquez sur Annuler l'enregistrement pour confirmer que vous souhaitez supprimer l’analyseur ESET Mail
Security. Attendez que l’annulation de l’enregistrement de Microsoft Azure soit terminée.
105
3. Si le processus d’annulation de l’enregistrement se termine avec succès, l’assistant d’annulation de
l’enregistrement affichera le message L’annulation de l’enregistrement a réussi.
Paramètres de protection du serveur
Les paramètres de protection du serveur constituent la principale option d’intégration. Cliquez sur le
commutateur d’activation/de désactivation pour activer ou désactiver l’intégration de la protection de base de
données de boîtes de courriels, de la protection du transport du courriel ou de la connexion DKIM à votre serveur
Exchange. Lorsque cette option est activée, vous pouvez configurer des paramètres détaillés pour chaque type de
protection dans sa section respective. Vous pouvez également modifier la priorité de l’agent (assurez-vous de
conserver la position prioritaire de l’agent ESET DKIM en dernier).
Si vous exécutez Microsoft Exchange Server 2010 ou 2010, vous pouvez choisir entre Protection de base de
données de boîtes de courriels et Analyse de base de données de boîtes de courriels à la demande. Un seul
type de protection peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données
de boîte de courriels à la demande, vous devrez désactiver la protection de la base de données de la boîte
de courriels. Sinon l'option Analyse de la base de données de boîtes de courriels à la demande ne sera pas
disponible.
ESET Mail Security offre une protection substantielle à Microsoft Exchange Server grâce aux fonctionnalités
suivantes :
• Antivirus et antispyware
• Protection antipourriel
106
• Protection anti-hameçonnage
• Règles
• Protection du transport du courriel (Exchange Server 2010, 2013.2016, 2019)
• Protection de la base de données de messagerie (Exchange Server 2010)
• Analyse de base de données de boîtes de courriels à la demande (Exchange Server 2010, 2013, 2016,
2019)
• Quarantaine de courriel (paramètres du type Quarantaine de courriel)
• Signature DKIM
Configuration de la priorité de l'agent
Si nécessaire, vous pouvez indiquer la priorité selon laquelle les agents ESET Mail Security deviennent actifs après
le démarrage de Microsoft Exchange Server. La valeur numérique définit la priorité. Les chiffres inférieurs
indiquent une priorité plus élevée. Cela s'applique à Microsoft Exchange Server 2010 et les version plus récentes.
Haut/Bas
Permet d'élever ou de réduire la priorité de l'agent sélectionné en le déplaçant vers le haut ou vers le bas dans la
107
liste. Vous pouvez modifier la priorité des agents concernés (surlignée en gras).
Nous vous recommandons de conserver la priorité de l’agent ESET DKIM à la dernière place, en bas, pour
vous assurer que les en-têtes sont signés en dernier lieu après toute modification apportée aux en-têtes
par les agents précédents.
Antivirus et antispyware
Dans cette section, vous pouvez configurer les options Antivirus et anti-logiciel espion de votre serveur de
courriel.
L’agent de transport assure la protection du transport du courriel. N'est disponible que pour Microsoft
Exchange Server 2010 et versions ultérieures, mais votre Exchange Server doit avoir le rôle Edge Transport
Server ou Hub Transport Server. Cela s'applique aussi à l'installation d'un seul serveur avec plusieurs rôles
Exchange Serveur sur un ordinateur (tant qu'il inclut le rôle Edge ou Hub Transport).
Protection du transport de messagerie
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion du transport du courriel, le
plugiciel ESET Mail Security pour le serveur Exchange ne sera pas déchargé du processus du serveur Microsoft
Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection des virus sur la couche
de transport. Les messages seront quand même analysés à la recherche de virus et de pourriel sur la couche de la
base de données et les règles existantes seront appliquées.
Protection de la base de données de messagerie
108
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion de la base de données de la boîte
de courriel, le module d'extension ESET Mail Security pour le serveur Exchange ne sera pas déchargé du processus
du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection
des virus sur la couche de la base de données. Les messages seront quand même analysés à la recherche de virus
et de pourriel sur la couche de la base de données et les règles existantes seront appliquées.
Analyse de la base de données de boîtes de courriels à la demande
L’analyse de la base de données de boîtes de courriel à la demande est disponible après la désactivation de la
protection de la base de données de boîtes de courriel dans la section Serveur.
paramètres ThreatSense
Modifiez les paramètres d'analyse pour la protection du transport du courriel, la protection de base de données
de boîtes de courriels et l'analyse de la base de données de boîtes de courriels à la demande.
Protection antipourriel
La protection antipourriel de votre serveur de messagerie est activée par défaut. Pour la désactiver, cliquez sur
l'interrupteur situé à côté de l'option Activer la protection antipourriel.
La désactivation de la protection antipourriel ne modifiera pas l'état de la protection. Bien que la fonction
antipourriel soit désactivée, le message Vous êtes protégé va continuer de s'afficher en vert dans la section
Surveillance de la fenêtre principale du programme. La désactivation de la fonction antipourriel n'est pas
considérée comme une réduction de la protection.
109
Utiliser les listes blanches d’Exchange Server pour contourner automatiquement la protection antipourriel
Cette option permet à ESET Mail Security d'utiliser des « listes blanches » Exchange précises. Lorsqu'elle est
activée, les points suivants sont pris en compte :
• L'envoi de l'adresse IP du serveur est sur la liste des adresses IP autorisées du serveur Exchange
• L'indicateur de Contournement antipourriel est réglé dans la boîte aux lettres du destinataire du message
• L'adresse de l'expéditeur figure sur la Liste des Expéditeurs fiables du destinataire du message (assurezvous que vous avez configuré la synchronisation de la Liste des expéditeurs fiables dans votre
environnement Exchange Server, y compris l'Agrégation des listes fiables)
Si l'un de ces cas s'applique à un message entrant, la vérification antipourriel de ce message sera court-circuitée.
Le message ne fera pas l'objet d'une vérification antipourriel et sera livré dans la boîte de courriel du destinataire.
Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP
Cet indicateur est utile lorsque vous avez des sessions SMTP authentifiées entre les serveurs Exchange dont la
configuration de contournement antipourriel est activée. Par exemple, lorsque vous avez un serveur Edge et un
serveur Hub, il n'est pas nécessaire d'analyser le trafic entre ces deux serveurs. L'Indicateur d'acceptation du
contournement antipourriel configuré sur la session SMTP est activé par défaut, mais ne s'applique que lorsque
l'indicateur de contournement antipourriel est configuré pour la session SMTP sur votre Exchange Server. Si vous
désactivez l'option Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP, ESET
Mail Security analysera la session SMTP à la recherche de pourriel, sans égard au paramètre de contournement
antipourriel dans votre Exchange Server.
Pour que le module antipourriel offre une protection optimale, vous devez mettre à jour régulièrement la
base de données antipourriel. Pour autoriser la mise à jour régulière de la base de données antipourriel,
assurez-vous que ESET Mail Security ait accès aux bonnes adresses IP sur les ports nécessaires. Pour en
savoir plus sur les adresses IP et les ports à activer sur votre coupe-feu tiers, voir notre article sur la Base de
connaissances.
Vous trouverez les paramètres de fonctionnalité dans leurs sections :
• Filtrage et vérification
• Paramètres avancés
• Paramètres de mise en liste grise
• SPF et DKIM
• Protection contre la rétrodiffusion
• Protection contre l’usurpation d’identité de l’expéditeur
Filtrage et vérification
Vous pouvez configurer les listes Autorisées, Bloquées et Ignorées en spécifiant des critères comme l'adresse IP
ou l'intervalle, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur Modifier pour
la liste à gérer.
110
Les adresses IP ou les domaines inclus dans les listes Ignorées ne seront pas testés par la protection
antipourriel, mais d'autres techniques de protection antipourriel seront appliquées.
Les listes ignorées doivent contenir toutes les adresses IP ou les noms de domaine de l'infrastructure
interne. Vous pouvez également inclure les adresses IP ou les noms de domaine de vos FAI ou des serveurs
de messagerie externes qui sont actuellement mis sur liste noire par l'un des RBL ou DNSBL (liste noire
infonuagique : liste noire d'ESET ou liste noire d'un tiers).
Cela vous permet de recevoir des courriels de sources incluses dans les listes ignorées, même si leurs
adresses IP sont sur la liste noire sur le nuage. Ces courriels entrants sont reçus et leur contenu est inspecté
par d'autres techniques de protection antipourriel.
Liste des adresses IP
approuvées
Inscrit automatiquement sur une liste blanche les courriels provenant des adresses IP
spécifiées. Le contenu du courriel ne sera pas vérifié.
Liste des adresses IP
bloquées
Bloque automatiquement les courriels provenant des adresses IP spécifiées.
Liste des adresses IP
ignorées
Liste des adresses IP qui sont ignorées pendant la classification. Le contenu du courriel
sera vérifié. Utilisez le commutateur Fait partie de l'infrastructure interne si vous devez
ajouter des adresses IP locales de votre réseau à la liste blanche. Consultez l'exemple cidessous.
Liste des domaines de
corps bloqués
Bloque les courriels qui contiennent le domaine spécifié dans le corps de message. Seuls
les domaines avec un vrai TLD (domaine de premier niveau) sont acceptés.
Liste des domaines de
corps ignorés
Les domaines spécifiés dans le corps de message sont ignorés pendant la classification.
Seuls les domaines avec un vrai TLD (domaine de premier niveau) sont acceptés.
Liste des adresses IP de Bloque les courriels dont le corps de message contient l'adresse IP spécifiée.
corps bloquées
Liste des adresses IP de Les adresses IP spécifiées dans le corps de message sont ignorées pendant la
corps ignorées
classification.
Liste des expéditeurs
approuvés
Met sur la liste blanche des courriels provenant d'un expéditeur spécifique. Une seule
adresse d'expéditeur ou un domaine entier est utilisé pour la vérification en fonction de
la priorité suivante :
1.SMTP 'MAIL FROM' adresse
2.champ d'en-tête de courriel « "Return-Path:" »
3.champ d'en-tête de courriel « "X-Env-Sender:" »
4.champ d'en-tête de courriel « "From:" »
5.champ d'en-tête de courriel « "Sender:" »
6.champ d'en-tête de courriel « "X-Apparently-From:" »
Liste des expéditeurs
bloqués
Bloque des courriels provenant d'un expéditeur spécifique. Toutes les adresses
d'expéditeur identifiées ou les domaines entiers sont utilisés pour la vérification :
SMTP 'MAIL FROM' adresse
champ d'en-tête de courriel « "Return-Path:" »
champ d'en-tête de courriel « "X-Env-Sender:" »
champ d'en-tête de courriel « "From:" »
champ d'en-tête de courriel « "Sender:" »
champ d'en-tête de courriel « "X-Apparently-From:" »
Domaine approuvé
dans la liste des
adresses IP
Inscrit sur une liste blanche les courriels provenant des adresses IP qui sont résolues à
partir des domaines spécifiés dans cette liste. Les enregistrements SPF (Sender Policy
Framework) sont reconnus lors de la résolution des adresses IP.
Domaine bloqué dans
la liste des adresses IP
Bloque les courriels provenant des adresses IP qui sont résolues à partir des domaines
spécifiés dans cette liste. Les enregistrements SPF sont reconnus lors de la résolution
des adresses IP.
Domaine ignoré dans la Liste des domaines qui sont résolus en adresses IP, lesquelles ne peuvent être à leur
liste des adresses IP
tour vérifiées pendant la classification. Les enregistrements SPF sont reconnus lors de la
résolution des adresses IP.
111
Liste des pays bloqués
Bloque les courriels provenant des pays spécifiés. Le blocage est basé sur l'adresse IP
géographique. Si un pourriel est envoyé à partir d'un serveur de messagerie ayant une
adresse IP répertoriée dans la base de données de géolocalisation pour un pays que
vous avez sélectionné dans les pays bloqués, il sera automatiquement marqué comme
pourriel et une action sera effectuée selon le réglage de Action à appliquer contre les
pourriels sous Protection du transport du courriel.
Les listes des domaines de corps n'acceptent que les domaines avec un TLD réel (domaine de premier
niveau), conformément à la base de données de zone racine officielle des TLD.
Si vous voulez ajouter plusieurs entrées, cliquez sur Entrer plusieurs valeurs dans la fenêtre Ajouter et
sélectionner le séparateur à utiliser. Il peut s’agir d’un retour à la ligne, d’une virgule ou d’un point-virgule.
Objectif: Exclure les adresses IP locales de votre infrastructure de la protection antipourriel en les ajoutant
dans la liste Ignorer les adresses IP
Accédez à Configuration avancée (F5) > Serveur > Protection antipourriel > Filtrage et vérification.
Cliquez sur Modifier en regard de Liste des adresses IP ignorées
Cliquez sur Ajouter et spécifiez la plage d'adresses IP de votre infrastructure réseau (format de plage
d'adresses IP 1.1.1.1-1.1.1.255). Vous pouvez continuer à ajouter plus de plages (ou d'adresses IP uniques)
à la liste, si nécessaire.
Utilisez la barre de défilement Fait partie de l'infrastructure interne.
Ajout à la liste grise et SPF
Spécifiez les domaines dont l'adresse IP sera mise en liste blanche ou la liste blanche des adresses IP à ignorer
automatiquement lors de la mise en liste grise et de SPF. Vous pouvez voir les fichiers journaux dans le Journal de
protection SMTP. Pour utiliser ces options, vous devez activer les options Mise en liste grise ou SPF. Dans le cas de
SPF, vous devez activer les paramètres Rejeter automatiquement les messages en cas d'échec de la vérification
SPF et/ou Ignorer automatiquement la mise en liste grise si la vérification SPF a réussi.
Utilisez les listes antipourriels pour ignorer automatiquement la mise en liste grise et SPF
Lorsque cette fonction est activée, la liste des adresses IP approuvées et ignorées est utilisée conjointement avec
les adresses IP et les domaines dont les adresses IP doivent figurer sur les listes blanches d'ignorer
automatiquement la mise en liste grise et SPF.
Liste blanche des adresses IP
Dans cette section, vous pouvez ajouter des adresses IP, des adresses IP avec masque et des plages d'adresses IP.
Vous pouvez modifier la liste en cliquant sur Ajouter, Modifier ou Supprimer. Par ailleurs, vous pouvez importer
votre liste personnalisée à partir d'un fichier au lieu d'ajouter chaque entrée manuellement; pour cela, cliquez sur
Importer, puis recherchez le fichier contenant les entrées que vous souhaitez ajouter à la liste. De même, si vous
devez exporter votre liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
Les listes blanches ont priorité sur les listes noires, c'est-à-dire que si un courriel contient à la fois une
adresse sur la liste blanche et une adresse sur la liste noire, il est mis sur la liste blanche. Seules la dernière
adresse d'expéditeur et jusqu'au Nombre maximum d'adresses vérifiées à partir de l'en-tête Reçues sont
vérifiées par rapport aux listes blanches. Toutes les adresses sont vérifiées par rapport aux listes noires
locales.
Domaine à mettre l'adresse IP en liste blanche
Cette option vous permet de spécifier les domaines (par ex, domainname.local). Pour gérer la liste, utilisez
112
Ajouter ou Supprimerou Tout supprimer. Si vous souhaitez importer votre liste personnalisée à partir d'un fichier
au lieu d'ajouter chaque entrée manuellement, cliquez sur Importer, puis recherchez le fichier contenant les
entrées que vous souhaitez ajouter à la liste. De même, si vous devez exporter votre liste existante vers un fichier,
sélectionnez Exporter dans le menu contextuel.
Les listes grises et SPF sont évaluées par la protection du transport de courriel et vous permettent d'utiliser
les adresses IP et les domaines dont les adresses IP ont été ajoutées à la liste blanche, ainsi que la liste des
adresses IP approuvées et ignorées. Toutefois, si vous utilisez des règles SPF, aucune de ces listes blanches
n'est prise en compte pour les règles.
Les paramètres avancés de l'antipourriel
Configurez ces paramètres pour la vérification des messages par des serveurs externes (définis comme RBL Realtime Blackhole List, DNSBL - DNS Blocklist) en fonction des critères prédéfinis. Les serveurs RBL sont
interrogés avec des adresses IP extraites des en-têtes Received: et les serveurs DNSBL sont interrogés avec des
adresses IP et des domaines extraits du corps du message. Pour obtenir plus d’explications, consultez les articles
sur RBL et DNSBL.
Nombre maximum d'adresses vérifiées à partir de l'en-tête Reçues :
Vous pouvez limiter le nombre d'adresses IP qui sont vérifiées par la solution antipourriel. Cela vise les adresse IP
écrites dans les en-têtes Received: from. La valeur par défaut est 0, ce qui signifie que seule l'adresse IP du
dernier expéditeur identifié est vérifiée.
Vérifier l'adresse de l'expéditeur par rapport à la liste noire des utilisateurs finaux
Les courriels qui ne sont pas envoyés à partir des serveurs de courriel (les ordinateurs qui ne sont pas dans la liste
en tant que serveurs de courriel) sont vérifiés pour s'assurer que l'expéditeur n'est pas sur la liste noire. Cette
option est désactivée par défaut. Vous pouvez la désactiver au besoin, mais les messages qui ne sont pas envoyés
à partir des serveur de courriel ne seront pas vérifiées par rapport à la liste noire.
Les résultats des listes de blocage externes de tiers ont la priorité sur la liste noire de l'utilisateur final pour
les adresses IP dans les entêtes Received: from. Toutes les adresses IP (jusqu'au nombre maximum
spécifié d'adresses vérifiées) sont envoyées pour évaluation par des serveurs tiers externes.
Serveurs RBL supplémentaires
Il s'agt d'une liste de serveurs Realtime Blackhole List (RBL) à interroger lors de l'analyse des messages.
Lors de l'ajout de serveurs RBL supplémentaires, entrez le nom de domaine du serveur (par ex.,
sbl.spamhaus.org). Cela fonctionne avec tous les codes de retour qui sont pris en charge par le serveur.
113
Vous pouvez aussi spécifier un nom de serveur avec un code de retour sous le format : server:response (par
exemple, zen.spamhaus.org:127.0.0.4). Lorsque ce format est utilisé, nous vous recommandons d'ajouter
chaque nom de serveur et chaque code de retour séparément pour obtenir une liste complète. Cliquez sur Entrez
des valeurs multiples dans la fenêtre Ajouter pour spécifier tous les noms de serveur et leurs codes de retour. Les
entrées devraient ressembler à l'exemple ci-dessous, le nom d'hôte des serveurs RBL et les codes de retour
peuvent varier :
Limite d'exécution de la requête RBL (en secondes)
Cette option vous permet d'établir un délai maximal pour les requêtes RBL. Les réponses RBL ne sont utilisées que
si elles proviennent des serveurs RBL qui répondent à temps. Si la valeur est réglée à « 0 », il n'y a pas de délai
d'attente maximal.
Nombre maximum d'adresses vérifiées par rapport à la liste RBL
Cette option vous permet de limiter le nombre d'adresses IP interrogées par rapport au serveur RBL. Veuillez
noter que le nombre total de requêtes RBL correspondra au nombre d'adresses IP dans les en-têtes dans le
dossier Reçus : les en-têtes (jusqu'à un maximum d'adresses IP vérifiées par rapport à la liste RBL) multiplié par le
nombre de serveurs RBL spécifiés dans la liste RBL. Si la valeur est réglée à « 0 », un nombre illimité d'en-têtes
reçus sera vérifié. Veuillez noter que les adresses IP qui correspondent à la liste d'adresses IP ignorées ne
comptent pas dans la limite d'adresses IP RBL.
114
Serveurs DNSBL supplémentaires
Il s'agit d'une liste des serveurs DNS Blocklist (DNSBL) à interroger avec les domaines et les adresses IP extraits du
corps de message.
Lors de l'ajout de serveurs DNSBL supplémentaires, entrez le nom de domaine du serveur (par ex.,
dbl.spamhaus.org). Cela fonctionne avec tous les codes de retour qui sont pris en charge par le serveur.
Vous pouvez aussi spécifier un nom de serveur avec un code de retour sous la forme : server:response (par
exemple, zen.spamhaus.org:127.0.0.4). Dans ce cas, nous vous recommandons d'ajouter chaque nom de
serveur et chaque code de retour séparément pour obtenir une liste complète. Cliquez sur Entrez des valeurs
multiples dans la fenêtre Ajouter pour spécifier tous les noms de serveur et leurs codes de retour. Les entrées
devraient ressembler à l'exemple ci-dessous, le nom d'hôte des serveurs DNSBL et les codes de retour peuvent
varier :
Limite d'exécution de la requête DNSBL (en secondes)
Permet d'établir un délai d'attente maximal pour toutes les requêtes DNSBL à compléter.
Nombre maximum d'adresses vérifiées par rapport à la liste DNSBL
115
Permet de limiter le nombre d'adresses IP interrogées par rapport au serveur DNS Blocklist.
Nombre maximum de domaines vérifiés par rapport à la liste DNSBL
Permet de limiter le nombre de domaines IP interrogées par rapport au serveur DNS Blocklist.
Taille maximale de l'analyse des messages (ko)
Permet de limiter l'analyse antipourriel des messages dont la taille est supérieure à la valeur spécifiée. La valeur
par défaut 0 indique qu'il n'y a pas de limite à la taille des messages analysés. Normalement, il n'y a aucune raison
de limiter l'analyse antipourriels, mais si vous avez besoin de la limiter dans certaines situations, changez la valeur
en utilisant la taille requise. Lorsqu'il est configuré, le moteur antispourriel traite les messages dont la taille ne
dépasse pas la valeur spécifiée et ignore les messages plus volumineux.
La plus petite limite possible est de 12 kB. Si vous définissez une valeur comprise entre 1 et 12, le moteur
antipourriel lira toujours au moins 12 kB.
Activer le rejet temporaire des messages indéterminés
Si le moteur antipourriel ne peut pas déterminer si un message est un POURRIEL ou non, ce qui veut dire que le
message a des caractéristiques suspectes propres aux POURRIELS, mais pas assez pour être marqué comme
POURRIEL (par exemple, le premier message d'une campagne ou un courriel provenant d'une plage d'adresses IP
avec des évaluations mixtes), alors ce paramètre (lorsqu'il est activé) autorise ESET Mail Security à rejeter
temporairement un tel message (comme le fait la mise en liste grise). Le rejet se poursuit pendant une durée
déterminée, jusqu'à ce que :
• L'intervalle soit écoulé et que le message soit accepté lors de la prochaine tentative de livraison. Ce
message est laissé dans sa classification initiale (POURRIEL OU LÉGITIME).
• Le nuage antipourriel rassemble suffisamment de données et est capable de classer correctement le
message avant la fin de l'intervalle.
Le message rejeté n'est pas gardé par ESET Mail Security, car il doit être renvoyé par le serveur d'envoi de courriel
conformément à la spécification RFC sur le SMTP.
Activer l'envoi des messages rejetés temporairement pour fins d'analyse
Le contenu du message est automatiquement envoyé pour une analyse approfondie. Cela contribue à améliorer
la classification des messages pour les prochains courriels.
Il est possible que des messages rejetés temporairement qui sont envoyés pour analyse soient en fait des
messages légitimes. Dans de rares cas, des messages temporairement rejetés peuvent être utilisés pour
une évaluation manuelle. N'activez cette fonction que si tout risque de fuite des données confidentielles
est écarté.
Paramètres de mise en liste grise
La fonction Activer Greylisting active une fonctionnalité qui protège les utilisateurs contre les pourriels en
utilisant la technique suivante : L'agent de transport envoie une valeur de retour SMTP de « rejet temporaire » (la
valeur par défaut étant 451/4.7.1) pour tout message reçu ne provenant pas d'un expéditeur reconnu. Après un
certain temps, un serveur légitime tentera de renvoyer le message. De façon générale, les serveurs de pourriel ne
tentent pas de renvoyer le message, puisqu'ils utilisent des milliers d'adresses de courriel et ne perdront donc pas
116
de temps à essayer de renvoyer un message. Greylisting est une autre couche de protection antipourriel, mais elle
n'a aucun effet sur les capacités d'évaluation du pourriel du module antipourriel.
Pour évaluer la source du message, Greylisting utilise une méthode qui tient compte de la configuration des listes
Adresses IP approuvées, Adresses IP ignorées, Expéditeurs fiables et Autoriser l'adresse IP sur le serveur Exchange
et des paramètres de contournement de la protection antipourriel de la boîte de courriel du destinataire. Les
courriels provenant de ces listes d'adresses IP/d'expéditeurs ou les courriels livrés dans la boîte de courriel pour
laquelle l'option de contournement de la protection antipourriel a été activée ne seront pas évalués par la
méthode de détection Greylisting.
Utiliser seulement la partie du domaine de l'adresse de l'expéditeur
Cette fonctionnalité ignore le nom de l’expéditeur dans l’adresse de courriel; seul le domaine est pris en compte.
Synchroniser les bases de données des listes grises avec toute la grappe ESET
Les entrées de la base de données de listes grises sont partagées en temps réel entre les serveurs de la grappe
ESET. Lorsque l'un des serveurs reçoit un message qui est traité par la mise en liste grise, cette information est
diffusée par ESET Mail Security sur le reste des nœuds de la grappe ESET.
Délai de refus de la connexion initiale (min)
Lors de la première tentative de livraison d'un message temporairement refusé, ce paramètre définit la durée
pendant laquelle le message sera toujours refusé (calculé à partir du premier refus). Une fois le délai écoulé, le
message sera accepté. La valeur minimale que vous pouvez entrer est 1 minute.
Délai d'expiration des connexions non vérifiées (heures)
Ce paramètre définit la durée minimale pendant laquelle le triplet de données sera stocké. Un serveur valide doit
renvoyer le message voulu avant l'expiration de cette période. Cette valeur doit être supérieure à la valeur du
Délai de refus de la connexion initiale.
Délai d'expiration des connexions non vérifiées (jours)
Le nombre minimal de jours pendant lequel le triplet de données sera stocké, délai pendant lequel les messages
envoyés par un expéditeur donné seront acceptés sans délai. Cette valeur doit être supérieure à la valeur du Délai
d'expiration des connexions non vérifiées.
Réponse SMTP (pour les connexions temporairement refusées)
Spécifiez un Code de réponse, un Code d'état et un Message de réponse, qui définissent la réponse de refus
temporaire envoyée au serveur SMTP si un message est refusé. Exemple d'un message de réponse de refus
SMTP :
Code de réponse Code d'état
451
4.7.1
Message de réponse
Veuillez réessayer ultérieurement.
Vous pouvez également utiliser les variables du système au moment de définir la réponse de refus SMTP.
Une syntaxe incorrecte des codes de réponse SMTP pourrait entraîner un mauvais fonctionnement de la
protection Greylisting. Ainsi, il est possible d'envoyer les pourriels peuvent être envoyés aux clients ou de
ne jamais les envoyer.
117
Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits dans le journal de protection
SMTP.
SPF et DKIM
SPF (Sender Policy Framework) et DomainKeys Identified Mail (DKIM) sont des méthodes de validation qui
vérifient que les courriels entrants provenant de domaines spécifiques sont autorisés par le propriétaire de ce
domaine. Cela permet de protéger les destinataires contre la réception de messages envoyés avec une identité
usurpée. ESET Mail Security uses utilise également l'évaluation DMARC (Domain-based Message Authentication,
Reporting and Conformance) pour améliorer encore le SPF et le DKIM.
SPF
Une vérification SPF vérifie qu’un courriel a été envoyé par un expéditeur légitime. Une recherche DNS des
enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une liste d'adresses IP. Si l'une des
adresses IP provenant des enregistrements SPF correspond à l'adresse IP réelle de l'expéditeur, le résultat de la
vérification SPF est Réussite. Si l'adresse IP réelle de l'expéditeur ne correspond pas, le résultat est Échec. Il faut
cependant noter que tous les domaines n'ont des enregistrements SPF spécifiés dans le DNS. Si aucun
enregistrement SPF n'existe dans le DNS, le résultat est Non disponible. Des dépassements de délai peuvent se
produire occasionnellement pour les requêtes DNS, auquel cas le résultat est également N'est pas disponible.
DKIM
est utilisé par les organisations pour empêcher la mystification des courriels grâce à l'ajout d'une signature
numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique l'utilisation d'une clé de
domaine privé pour chiffrer les en-têtes de courriels sortant de vos domaines et l'ajout d'une version publique de
la clé aux enregistrements DNS du domaine. ESET Mail Security peut alors extraire la clé publique pour déchiffrer
les en-têtes entrants et vérifier que le message provient réellement de votre domaine et que son en-tête n'a pas
été modifié en cours de route.
Exchange Server 2010 et les versions antérieures ne sont pas entièrement compatibles avec DKIM, car les
en-têtes inclus dans les messages entrants signés numériquement peuvent être modifiés pendant la
validation DKIM.
DMARC
DMARC se base sur les deux mécanismes existants, SPF et DKIM. Vous pouvez utiliser les règles de protection du
transport du courriel pour évaluer les actions Résultat DMARC et Appliquer la politique DMARC.
118
Détection automatique des serveurs DNS
La détection automatique utilise les paramètres de votre carte réseau.
Adresse IP du serveur DNS
Si vous souhaitez utiliser des serveurs DNS précis pour SPF et DKIM, entrez l'adresse IP (au format IPv4 ou IPv6)
du serveur DNS que vous souhaitez utiliser.
Délai de requête DNS (secondes)
Spécifiez un délai d’attente pour la réponse DNS.
Rejeter automatiquement les messages si la vérification SPF échoue
Si la vérification SPF échoue immédiatement, le courriel peut être rejeté avant qu'il ne soit téléchargé.
119
La vérification SPF est effectuée sur la couche SMTP. Cependant, il peut être rejeté automatiquement sur la
couche SMTP ou lors de l'évaluation des règles.
Les messages rejetés ne peuvent pas être enregistrés dans le journal des événements lorsque vous utilisez
le rejet automatique sur la couche SMTP. En effet, la journalisation est effectuée par une action de règle et
le rejet automatique est effectué directement sur la couche SMTP qui se produit avant l'évaluation de la
règle. Comme les messages sont rejetés avant l'évaluation des règles, il n'y a pas d'informations à consigner
au moment de l'évaluation des règles.
Vous pouvez enregistrer les messages rejetés, mais uniquement si vous rejetez les messages par une action
de règle. Pour rejeter les messages pour lesquelles la vérification SPF n'a pas réussi et journaliser ces
messages rejetés, désactivez Rejeter automatiquement les messages si la vérification du SPF échoue et
créez la règle suivante pour Protection du transport du courriel :
Condition
• Type : Résultat SPF
• Opération : est
• Paramètre : Échec
Actions
• Type : Rejeter le message
• Type : Journaliser les événements
Utiliser le domaine Helo dans l’évaluation SPF
Cette caractéristique utilise le domaine HELO pour l’évaluation SPF. Si le domaine HELO n’est pas spécifié, le nom
d’hôte de l’ordinateur est utilisé à la place.
Utiliser l'entête Expéditeur : si COURRIEL ENVOYÉ PAR est vide
L'en-tête MAIL FROM peut être vide; elle peut également contenir une identité usurpée. Lorsque cette option est
activée, et que MAIL FROM est vide, le message est téléchargé et l'entête From: est utilisée à la place.
Ignorer automatiquement la mise en liste grise si la vérification SPF a réussi
Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite de la vérification SPF.
Réponse de rejet SMTP
Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse
de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire un message de
réponse en respectant le format suivant :
Code de réponse Code d'état
550
5.7.1
Message de réponse
La vérification SPF a échoué
Protection contre la rétrodiffusion
La rétrodiffusion des pourriels est un effet secondaire indésirable des pourriels. Il s'agit de la notification de nonremise mal dirigée et envoyée par les serveurs de courriels. Lorsqu'un pourriel est rejeté par le serveur de
messagerie du destinataire, un rapport de non-remise (NDR), également appelé message de rejet, est envoyé à
l'expéditeur présumé (une adresse courriel utilisée faussement comme étant l'expéditeur du pourriel original) qui
n'est pas l'expéditeur réel du pourriel. Le propriétaire de l’adresse de courriel reçoit un rapport de non-remise,
même s’il n’a pas été impliqué dans le pourriel d’origine. C’est là que la protection contre la rétrodiffusion entre
en jeu. Vous pouvez empêcher la distribution des rapports de non-remise aux boîtes de courriels des utilisateurs
au sein de votre organisation à l'aide de la protection contre la rétrodiffusion de ESET Mail Security.
120
Lorsque vous activez la vérification des rapports de non-remise, vous devez spécifier l'amorce de signature (une
chaîne d'au moins 8 caractères, par exemple, une phrase secrète). La protection contre la rétrodiffusion de ESET
Mail Security inscrit X-Eset-NDR: <hash> dans l'en-tête de chaque courriel sortant. La protection contre la
rétrodiffusion de PN inscrit X-Eset-NDR: <hash> dans l'en-tête de chaque courriel sortant. <hash> est une
signature chiffrée qui contient également l'amorce de signature que vous avez spécifiée.
Si un courriel légitime ne peut pas être remis, votre serveur de messagerie reçoit généralement un rapport de
non-remise, qui est vérifié par ESET Mail Security à la recherche du symbole X-Eset-NDR: <hash> dans les entêtes. Si X-Eset-NDR: est présent et que la signature <hash> correspond, le rapport de non-remise est envoyé
à l'expéditeur du message électronique légitime indiquant que la remise du message a échoué. Si Eset-NDR:
n'est pas présent ou si la signature <hash> est incorrecte, alors il s'agit d'une rétrodiffusion de pourriel et le
rapport de non-remise est rejeté.
Supprimer automatiquement les rapports de non-remise en cas d'échec de la vérification
Si la vérification du rapport de non-remise échoue immédiatement, le courriel peut être rejeté avant qu'il ne soit
téléchargé.
Vous pouvez consulter l'activité de la Protection contre la rétrodiffusion dans le Journal de protection SMTP.
Protection contre l’usurpation d’identité de
l’expéditeur
L'usurpation de l'identité de l'expéditeur d'un courriel est une pratique courante qui consiste pour un pirate à
falsifier le nom ou l'adresse de courriel de l'expéditeur afin de tromper le destinataire. Pour le destinataire du
courriel, il est impossible de distinguer un tel courriel mystifié d'un courriel authentique, ce qui constitue un
risque. L'escroquerie au faux ordre de virement (le pirate usurpe l’identité du chef de la direction de l'entreprise)
est un type de mystification de l’expéditeur courant.
Le fait que les employés ne remettraient pas en question ces courriels permet au pirate de réussir. L’identité du
chef de la direction de l’entreprise n'est pas la seule visée. L'usurpation d'identité de l'expéditeur vise souvent
n'importe quel expéditeur qui existe réellement, généralement une personne de l'Active Directory de votre
organisation. Un courriel mystifié semble alors très convaincant pour un destinataire sans méfiance, gagnant
facilement sa confiance.
ESET Mail Security vous protège contre l'usurpation de l'identité de l'expéditeur du courriel. La protection contre
la mystification de l’expéditeur utilise plusieurs méthodes pour vérifier si les informations de l’expéditeur sont
valides.
La protection contre la mystification de l’expéditeur examine le domaine contenu dans le champ « De : » d’entête de courriels et l’expéditeur de l’enveloppe, puis compare le domaine trouvé avec les listes de domaines. Si le
domaine est différent, le message est considéré comme valide (non mystifié) et est traité par d’autres couches de
protection de ESET Mail Security. Toutefois, si le domaine correspond à un domaine de la liste, il s'agit peut être
d'un courriel mystifié et nécessite une vérification plus approfondie.
En fonction du réglage, une vérification supplémentaire est effectuée : la vérification SPF. L'adresse IP de
l'enveloppe est vérifiée par rapport à des listes d'adresses IP, ou le message est automatiquement considéré
comme usurpé. Si le résultat de la vérification SPF est réussi ou si l’adresse IP de l’enveloppe correspond à une
adresse IP de la liste, le message est valide; sinon, il s'agit d'un message mystifié. Une mesure doit être prise
lorsque le message est mystifié.
121
Vous pouvez utiliser la protection contre la mystification de l’expéditeur de deux façons :
• Activez la protection contre la mystification de l’expéditeur, configurez ses paramètres et spécifiez
éventuellement des domaines et des listes IP. L'action par défaut appliqué aux courriels mystifiés est la mise
en quarantaine du message. Pour modifier les mesures à prendre, accédez aux paramètres avancés de la
protection du transport du courriel.
• Utilisez les règlesde protection du transport du courriel : résultat de SPF - champ FROM de l'entête ou
résultat de la comparaison de l'expéditeur de l’enveloppe et le champ FROM de l'entête avec une action
de votre choix. Les règles vous fournissent plus d’options et de combinaisons si vous souhaitez adopter un
comportement précis lorsque des courriels mystifiés sont reçus.
Lorsque la Protection contre l’usurpation d’identité de l’expéditeur est utilisée, ou si une action de règle de type
Inscrire au journal des événements est spécifié, tous les messages qui ont été évalués par la Protection contre
l’usurpation d’identité de l’expéditeur sont enregistrés dans les fichiers journaux. De même, vous pouvez trouver
des courriels mystifiés dans le dossier de quarantaine de messagerie lorsqu’une action est définie sur Mettre les
messages en quarantaine dans la Protection du transport de messagerie ou définie dans les règles.
Activer la protection contre l’usurpation d’identité de l’expéditeur
Activez la protection contre la mystification de l’expéditeur pour empêcher les attaques par courriel qui tentent
d’induire les destinataires en erreur quant à l’origine du message (mystification de l'expéditeur).
Activer les courriels entrants avec mon propre domaine dans l’adresse de l’expéditeur
Cette option permet d'effectuer une vérification supplémentaire sur les messages qui contiennent votre propre
domaine dans le champ d’en-tête de courriel "From:" ou sur l’expéditeur de l’enveloppe (qui est soupçonné de
mystification) :
• Uniquement en cas de réussite de la vérification SPF - suppose que SPF est activé. Si la vérification SPF
réussie, le message est considéré comme valide et transmis. Si la vérification SPF échoue, le message est une
mystification (l’action est entreprise). Vous pouvez également choisir de rejeter automatiquement les
messages si la vérification SPF échoue.
• Uniquement lorsque l’adresse IP figure sur la liste des adresses IP de l’infrastructure : Compare l’adresse
IP de l'enveloppe à celles des listes d'adresses IP (une liste de vos propres adresses IP et la liste des adresses
IP ignorées marquée comme faisant partie de l’infrastructure interne). S'il y a une correspondance, le
message est valide et est transmis. S'il n'existe aucun correspondance, le message est une mystification et
une action est entreprise.
• Jamais – si un message entrant contient votre propre domaine dans le champ « De : » de l’en-tête de
courriel ou de l'expéditeur de l’enveloppe, il est automatiquement considéré comme mystifié sans aucune
vérification supplémentaire. Une action est prise avec le message « Consultez la protection du transport de
messagerie pour connaitre les options d’action ».
Charger automatiquement mes propres domaines à partir de la liste des domaines acceptés
Nous vous recommandons fortement d’activer cette option pour maintenir le plus haut niveau de protection. De
cette façon, les domaines et les adresses IP de votre infrastructure seront pris en compte lors de l’évaluation par
la protection contre la mystification de l’expéditeur.
Liste de mes propres domaines
122
Ces domaines sont considérés comme les vôtres. Ajoutez des domaines qui seront utilisés pendant l’évaluation,
en plus des domaines chargés automatiquement à partir de votre liste Active Directory. Les domaines de
l’expéditeur seront comparés aux domaines de ces listes. S'il n'y a aucune correspondance, le message est valide.
S'il y a une correspondance, une vérification plus approfondie est effectuée en fonction du paramètre Activer les
courriels entrants avec mon propre domaine dans l’adresse de l’expéditeur.
Liste de mes propres adresses IP
Adresses IP jugées fiables. Ajoutez des adresses IP qui seront utilisées pendant l’évaluation, en plus des adresses
IP de la liste des adresses IP ignorées marquée comme faisant partie de l’infrastructure interne. L’adresse IP de
l’enveloppe de l’expéditeur est comparée aux adresses IP de ces listes. S'il existe une correspondance avec
l’adresse IP de l’enveloppe, le message est valide. S'il n'existe aucun correspondance, le message est une
mystification et une action est entreprise.
Protection antihameçonnage
L'hameçonnage désigne une activité dont le but est d'obtenir des informations sensibles telles que les noms
d'utilisateur, les mots de passe, les numéros de compte bancaires ou de carte de crédit par courriels ou par des
pages Web déguisées en une entité digne de confiance. Cette activité est généralement effectuée pour des
raisons malveillantes. Il s'agit d'une forme de piratage psychologique (manipuler les utilisateurs afin d’obtenir des
informations confidentielles).
ESET Mail Security comprend une protection antihameçonnage qui empêche les utilisateurs d'accéder à des pages
Web connues comme hameçons. Dans le cas des courriels contenant des liens menant à des pages Web
d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui effectue des recherches dans le corps et
dans l'objet des courriels entrants afin de répérer les liens dangereux (URL).
Les liens sont comparés à une base de données d'hameçonnage. Si le résultat de l'évaluation est positif, le courriel
est considéré comme un message d'hameçonnage et ESET Mail Security le traite en fonction du paramètre Action
à entreprendre sur un message d’hameçonnage pour chaque couche de protection (Protection du transport du
courriel, Protection de la base de données de boîtes de courriels et Analyse de la base de données de boîtes de
courriels à la demande). Les actions de règle sont également exécutées.
Normes de format de courriel prises en charge :
• Texte brut
• HTML seulement
• MIME
• MIME à plusieurs parties (un courriel contenant à la fois un élément HTML et un élément de texte brut)
Entités HTML prises en charge :
Les messages d'hameçonnage peuvent contenir des entités HTML afin de se cacher au moteur antihameçonnage.
La protection antihameçonnage analyse et traduit également les symboles HTML afin de trouver et évaluer
correctement les URL obscurcies.
Un seul caractère peut être représenté sous différentes formes. Par exemple, une période peut être représentée
sous les formes suivantes :
123
Les liens que contiennent le courriel tel que
l'utilisateur les voit
Valeur
Liens masqués contenus dans le corps du message
Type
http://www.example-phishing-domain.com/Fraud .
http://www.example-phishing-domain.com/Fraud
caractère
http://www.example-phishing-domain.com/Fraud
http://www.example-phishing-domain.com/Fraud
nom
d'entité
.
http://www.example-phishing-domain.com/Fraud
.
http://www.example-phishing-domain.com/Fraud
http://www.example-phishing-domain.com/Fraud numéro
hexadécimal
de l'entité
http://www.example-phishing-domain.com/Fraud
.
numéro
décimal de
l'entité
Pour voir l’activité de protection du courriel contre le hameçonnage, accédez à Fichiers journaux > Journal de
protection du serveur de messagerie. Le journal contient des informations sur les courriels et les liens
d’hameçonnage qu’ils contiennent.
Signaler un site d'hameçonnage
Vous pouvez cliquer sur Signaler pour informer ESET d’un site Web d’hameçonnage ou malveillant.
Règles
Les règles vous permettent de définir manuellement les conditions de filtrage des courriels et les actions à
entreprendre pour les courriels filtrés. Vous pouvez également définir des conditions et des actions différentes de
façon individuelle pour la protection du transport du courriel, la protection de la base de données de la boîte de
courriels et l'analyse de la base de données de boîtes de courriels à la demande. Cela est utile, car chaque type de
protection utilise une approche légèrement différente lors du traitement des messages, en particulier la
protection du transport du courriel.
La disponibilité des règles pour la protection de base de données de boîtes de courriels, l'analyse de la base
de données de boîtes de courriels à la demande et la protection du transport du courriel dans votre
système dépend de la version de Microsoft Exchange Server installée sur le serveur avec ESET Mail
Security.
Des règles pour l'analyse de la base de données de boîtes de courriels à la demande mal définies peuvent
entraîner des modifications irréversibles dans les bases de données de boîtes courriels. Assurez-vous
toujours d'avoir les sauvegardes les plus récentes de vos bases de données de boîtes de courriels avant
d'exécuter l'analyse de la base de données de boîtes de courriels à la demande avec des règles en place
pour la première fois. Nous vous recommandons vivement de vérifier que les règles fonctionnent
conformément à vos attentes. Pour vérification, définissez des règles avec l'action Journaliser aux
événements uniquement, car toute autre action peut apporter des modifications à vos bases de données
de boîtes aux lettres. Lorsque vous êtes satisfait de la vérification, vous pouvez ajouter des actions de règle
de destruction telles que Supprimer la pièce jointe.
Les règles sont classées en trois niveaux et sont évaluées dans l'ordre suivant :
• Règles de filtrage : (1) évaluées avant l'analyse antipourriel, antihameçonnage et antivirus
• Règles de traitement des pièces jointes : (2) évaluées lors d’une analyse antivirus
• Règles de traitement des résultats : (3) évaluées après l'analyse antipourriel, antihameçonnage et
antivirus
Les règles ayant le même niveau d'évaluation sont évaluées dans l'ordre affiché dans la fenêtre des règles. Vous
124
ne pouvez modifier l’ordre que pour les règles de même niveau. Lorsque vous avez plusieurs règles de filtrage,
vous pouvez modifier l'ordre dans lequel elles sont appliquées. Vous ne pouvez pas modifier leur ordre en plaçant
des règles de traitement des fichiers joints avant des règles de filtrage - les flèches de déplacement vers le
haut/vers le bas ne seront pas disponibles. Vous ne pouvez pas mélanger les règles appartenant à des Niveaux
différents.
La colonne Occurrences indique le nombre de fois que la règle a été appliquée avec succès. Décocher une case
(qui se trouve à gauche de chaque nom de règle) désactive la règle correspondante jusqu'à ce que vous cochiez la
case de nouveau.
Cliquez sur Réinitialiser pour réinitialiser le compteur de la règle sélectionnée (la colonne Occurrences).
Sélectionnez Afficher pour afficher une configuration attribuée à partir de la politique de ESET PROTECT.
Normalement, si les conditions d'une règle sont remplies, l'évaluation des règles s'arrête pour de nouvelles
règles de priorité inférieure. Cependant, si cela est nécessaire, vous pouvez utiliser l'action de règle
spéciale appelée Évaluer d'autres règles pour continuer l'évaluation.
Les règles sont vérifiées par rapport à un message lorsqu'il est traité par la protection de transport du courriel, la
protection de base de données de boîtes de courriels ou l'analyse de la base de données de boîtes de courriels à
la demande. Chaque couche de protection a un ensemble de règles distinct.
Lorsque la protection de base de données de boîtes de courriels ou les conditions de règle d'analyse de la base de
données de boîtes de courriels à la demande sont mises en correspondance, le compteur de règles peut
augmenter de 2 ou plus. En effet, ces couches de protection accèdent séparément au corps et aux pièces jointes
d'un message, de sorte que des règles sont appliquées à chaque partie individuellement. Les règles de protection
de la base de données de boite de courriels sont aussi appliquées pendant l'analyse en arrière-plan (par exemple
lorsque ESET Mail Security exécute une analyse de la boîte de courriels après le téléchargement d’un nouveau
moteur de détection), ce qui peut incrémenter le compteur de la règle.
125
Assistant de configuration des règles
1. Cliquez sur Ajouter (au milieu) et une fenêtre Condition de la règle s'affiche dans laquelle vous pouvez
sélectionner un type de conditions, d'opérations et de valeurs. Définissez d'abord la ou les Conditions, ensuite
la ou les Actions.
Vous pouvez définir plusieurs conditions. Si vous définissez plusieurs conditions, toutes les conditions
doivent être remplies pour que la règle soit appliquée. Toutes les conditions sont connectées en utilisant
l'opérateur logique ET. Même si la plupart des conditions sont remplies et qu'une seule ne l'est pas, la
condition est considérée comme non remplie et l'action de la règle ne peut être effectuée.
2. Cliquez sur Ajouter (en bas) pour ajouter une action de règle.
Vous pouvez ajouter plusieurs actions pour une règle.
3. Lorsque les conditions et les actions sont définies, saisissez un nom pour la règle (un nom que vous pourrez
reconnaitre facilement). Le nom s’affichera dans la liste des règles. Nom est un champ obligatoire : s'il est
surligné en rouge, tapez le nom de la règle dans la zone de texte et cliquez sur OK pour créer la règle. La mise
en évidence en rouge ne disparaît pas, même si vous avez entré le nom d'une règle; elle disparaîtra une fois
que vous aurez cliqué sur OK.
4. Si vous souhaitez préparer les règles, mais que vous planifiez les utiliser plus tard, vous pouvez cliquer sur
l'interrupteur situé à côté de l'élément Active pour désactiver la règle. Pour activer une règle, cochez la case à
côté de la règle que vous souhaitez activer.
126
Si une nouvelle règle est ajoutée ou si une règle existante est modifiée, une nouvelle analyse des messages
commencera automatiquement en utilisant les nouvelles règles ou les règles modifiées.
Reportez-vous aux exemples de règles pour savoir comment vous pouvez utiliser les règles.
Condition de la règle
L'assistant de condition des règles vous permet d'ajouter des conditions à une règle. Sélectionnez le type de
condition et une opération dans le menu déroulant. La liste des opérations est différente selon le type de règle
que vous choisissez. Sélectionnez ensuite un paramètre. Les champs Paramètres changeront en fonction du type
et de la fonction de la règle.
Par exemple, sélectionnez Taille du fichier > est supérieure à et, sous Paramètre, inscrivez 10 Mo. Grâce à ces
paramètres, tout fichier dont la taille est supérieure à 10 Mo sera traité en utilisant l'action de la règle que vous
avez spécifiée. C'est pourquoi vous devez spécifier l'action à entreprendre lorsqu'une règle donnée est
déclenchée, si vous ne l'avez pas déjà fait lors de la définition des paramètres de cette règle.
Si vous souhaitez importer votre liste personnalisée à partir d'un fichier au lieu d'ajouter des entrées
manuellement, cliquez avec le bouton droit de la souris dans le milieu de la fenêtre et sélectionnez Importer dans
le menu contextuel. Ensuite, vous pouvez rechercher votre fichier (.xml ou .txt, et contenant des entrées
délimitées par de nouvelles lignes) que vous souhaitez ajouter à la liste. De même, si vous devez exporter votre
liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
Vous pouvez également spécifier une expression régulière, puis sélectionner l'opération : Correspond à
l'expression régulière ou Ne correspond pas à l'expression régulière.
ESET Mail Security utilise std::regex. Reportez-vous à la syntaxe ECMAScript pour construire des
expressions régulières. La syntaxe des expressions régulières n'est pas sensible à la casse, y compris les
résultats de la recherche.
Vous pouvez définir plusieurs conditions. Si vous définissez plusieurs conditions, toutes les conditions
doivent être remplies pour que la règle soit appliquée. Toutes les conditions sont connectées en utilisant
l'opérateur logique ET. Même si la plupart des conditions sont remplies et qu'une seule ne l'est pas, la
condition est considérée comme non remplie et l'action de la règle ne peut être effectuée.
Les types de conditions suivants sont disponibles pour la protection du transport du courriel, la protection de
base de données de boîtes de courriels et l'analyse de la base de données de boîtes de courriels à la demande
(certaines options pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées précédemment) :
Nom de la condition
Protection
Protection
de la base
du transport
de données
de
de
messagerie
messagerie
Analyse de la
base de
données de
boîtes de
courriels à la
demande
Objet
Expéditeur
127
Description
✓
✓
✓
S'applique aux messages qui
contiennent ou ne contiennent pas une
chaîne spécifique (ou une expression
régulière) dans l'objet.
✓
✓
✓
S'applique aux messages envoyés par un
expéditeur spécifique.
Nom de la condition
Expéditeur de l’enveloppe
(expéditeur SMTP)
Adresse IP de l'expéditeur
Domaine de l’expéditeur
de l'enveloppe/Domaine
de l’expéditeur
Domaine de l'expéditeur
SMTP
Protection
Protection
de la base
du transport
de données
de
de
messagerie
messagerie
Analyse de la
base de
données de
boîtes de
courriels à la
demande
✓
✗
✗
l'attribut de l'enveloppe MAIL FROM
utilisé lors de la connexion SMTP.
Également utilisé pour la vérification
SPF.
✓
✗
✗
S'applique aux messages envoyés à
partir d'une adresse IP spécifique.
✓
✓
✓
S'applique aux messages provenant
d'un expéditeur ayant un domaine
spécifique dans ses adresses courriels.
✗
S'applique aux messages provenant
d'un expéditeur ayant un domaine
spécifique dans ses adresses courriels.
✗
"From:" valeur contenue dans les
entêtes de message. Il s'agit de l'adresse
qui est visible pour le destinataire, mais
aucune vérification n'est faite que le
système expéditeur est autorisé à
envoyer au nom de cette adresse. Elle
est souvent utilisée pour usurper
l'identité de l'expéditeur.
✓
✗
Entête De - adresse
✓
✗
Entête De - nom
d'affichage
Destinataire
Description
✓
✗
✗
"From:" valeur contenue dans les
entêtes de message. Il s'agit du nom
d'affichage qui est visible pour le
destinataire, mais aucune vérification
n'est faite que le système expéditeur est
autorisé à envoyer au nom de cette
adresse. Elle est souvent utilisée pour
usurper l'identité de l'expéditeur.
✓
✓
✓
S'applique aux messages envoyés à un
destinataire spécifique.
✗
S'applique aux messages envoyés à un
destinataire appartenant à une unité
d'organisation spécifique.
Unités organisationnelles
du destinataire
✓
Résultat de la validation
du destinataire
✓
✗
✗
S'applique aux messages envoyés à un
destinataire validé dans Active
Directory.
✓
✓
✓
S'applique aux messages contenant des
pièces jointes avec un nom spécifique.
✓
S'applique aux messages ayant une
pièce jointe dont la taille ne correspond
pas à une taille spécifiée, se trouve dans
un intervalle de tailles spécifiées ou
excède une taille spécifiée.
Nom de la pièce jointe
✗
Taille de la pièce jointe
✓
128
✓
Nom de la condition
Protection
Protection
de la base
du transport
de données
de
de
messagerie
messagerie
Analyse de la
base de
données de
boîtes de
courriels à la
demande
Type de pièce jointe1
✓
✓
✓
S'applique aux messages avec un type
de pièce jointe spécifique. Les types de
fichier sont catégorisés en groupes pour
faciliter leur sélection. Vous pouvez
sélectionner plusieurs types de fichier
ou des catégories entières. ESET Mail
Security détecte le type de fichier réel,
peu importe l’extension. Cela s’applique
également au contenu d’une archive.
Taille du message
Boîte de réception
Titres des messages
Description
✓
✗
✗
S'applique aux messages dont la taille
des pièces jointes ne correspondent pas
à une taille spécifique, se trouvent entre
deux tailles spécifiques ou excèdent un
taille spécifique.
✗
✓
✗
S'applique aux messages se trouvant
dans une boîte de courriel spécifique.
✓
✓
✗
S'applique aux messages avec des
données spécifiques dans leur en-tête.
Corps de message
✓
✗
✓
La phrase spécifiée est recherchée dans
le corps du message. Vous pouvez
utiliser la fonctionnalité Supprimer les
balises HTML pour supprimer les balises
HTML, les attributs et les valeurs et
conserver uniquement le texte. La
recherche se fera alors dans le corps du
texte.
✓
✗
✗
S'applique selon qu'un message est
interne ou non interne.
Message sortant
✓
✗
✗
S'applique aux messages sortants.
Message signé
✓
✗
✗
S'applique aux messages signés.
Message chiffré
✓
✗
✗
S'applique aux messages chiffrés
Résultat de l'analyse
antipourriel
✓
✗
✗
S'applique aux messages signalés ou
non comme pourriel ou comme courriel
légitime.
Message interne
Résultat de l'analyse
antivirus
Résultat de l'analyse
antihameçonnage
✓
✓
✓
S'applique aux messages signalés
comme étant malveillants ou non
malveillants.
✓
✗
✓
S'applique aux messages qui selon
l'évaluation sont des hameçons.
✓
✓
✓
S'applique aux messages reçus avant ou
après une date spécifique ou entre deux
dates spécifiques.
✓
✓
✗
S'applique aux messages avec des
pièces jointes d'archives qui sont
protégées par un mot de passe.
Heure de réception
Contient une archive
protégée par un mot de
passe
129
Nom de la condition
Contient une archive
endommagée
La pièce jointe est une
archive protégée par mot
de passe
La pièce jointe est une
archive corrompue
Protection
Protection
de la base
du transport
de données
de
de
messagerie
messagerie
Analyse de la
base de
données de
boîtes de
courriels à la
demande
✓
✓
✗
S'applique aux messages dont les
archives jointes sont endommagées
(très probablement impossibles à
ouvrir).
✗
✗
✓
S'applique aux pièces jointes qui sont
protégées par un mot de passe.
✗
✗
✓
S'applique aux pièces jointes sont
endommagées (très probablement
impossibles à ouvrir).
Nom du dossier
✗
✗
✓
S'applique aux messages situés dans un
dossier spécifique, si le dossier n'existe
pas, il sera créé. Cela ne s'applique pas
aux dossiers publics.
✓
✗
✗
S'applique aux messages dont la
vérification par DKIM a réussie ou a
échoué, autrement si non disponible.
✗
S’applique aux messages pour lesquels
le résultat de l’évaluation SPF est :
• Succès - l'adresse IP est autorisée à
effectuer des envois à partir du
domaine (qualifiant SPF "+")
• Échec - l'enregistrement SPF ne
contient pas le serveur d'envoi ni
l'adresse IP (qualifiant SPF "-")
• Échec récupérable - l'adresse IP peut
être ou non autorisée à effectuer des
envois à partir du domaine (qualifiant
SPF "~")
• Neutre - signifie que le propriétaire
du domaine a déclaré dans
l'enregistrement SPF qu'il ne veut pas
affirmer que l'adresse IP est autorisée à
effectuer des envois à partir du
domaine (qualifiant SPF "?")
• Non disponible - le résultat SPF None
signifie qu'aucun enregistrement n'a été
publié par le domaine ou qu'aucun
domaine d'expéditeur qu'il est possible
de vérifier n'a pu être déterminé à partir
de l'identité donnée
Consultez RFC 4408 pour plus de détails
à propos de SPF.
Si vous utilisez un résultat SPF, les listes
blanches de la rubrique Filtrage et
vérification ne sont pas prises en
compte pour les règles.
DKIM résultat
SPF résultat
✓
130
Description
✗
Nom de la condition
Protection
Protection
de la base
du transport
de données
de
de
messagerie
messagerie
Analyse de la
base de
données de
boîtes de
courriels à la
demande
DMARC résultat
Dispose d'un
enregistrement DNS
inversé
NDR résultat
✓
✗
✗
S'applique aux messages dont la
vérification par SPF ou par DKIM ou par
les deux a réussie ou a échoué,
autrement si non disponible.
✓
✗
✗
S'applique aux messages dont le
domaine de l'expéditeur possède un
enregistrement DNS inversé.
✓
✗
✗
S'applique aux messages dont la
vérification par NDR a échoué.
✗
S’applique aux messages pour lesquels
le résultat de l’évaluation SPF est :
• Succès - l'adresse IP est autorisée à
effectuer des envois à partir du
domaine (qualifiant SPF "+")
• Échec - l'enregistrement SPF ne
contient pas le serveur d'envoi ni
l'adresse IP (qualifiant SPF "-")
• Échec récupérable - l'adresse IP peut
être ou non autorisée à effectuer des
envois à partir du domaine (qualifiant
SPF "~")
• Neutre - signifie que le propriétaire
du domaine a déclaré dans
l'enregistrement SPF qu'il ne veut pas
affirmer que l'adresse IP est autorisée à
effectuer des envois à partir du
domaine (qualifiant SPF "?")
• Non disponible - le résultat SPF None
signifie qu'aucun enregistrement n'a été
publié par le domaine ou qu'aucun
domaine d'expéditeur qu'il est possible
de vérifier n'a pu être déterminé à partir
de l'identité donnée
Consultez RFC 4408 pour plus de détails
à propos de SPF.
Si vous utilisez un résultat SPF, les listes
blanches de la rubrique Filtrage et
vérification ne sont pas prises en
compte pour les règles.
✗
Compare le ou les domaines contenus
dans le champ "From:" d’en-tête de
courriel et de l’expéditeur de
l’enveloppe avec les listes de domaines.
résultat SPF - En-tête De
✓
Résultat de la comparaison
entre l'expéditeur de
✓
l'enveloppe et l'en-tête De
131
Description
✗
✗
Nom de la condition
Protection
Protection
de la base
du transport
de données
de
de
messagerie
messagerie
Analyse de la
base de
données de
boîtes de
courriels à la
demande
Résultat SPFHELO
✓
✗
✗
Description
S’applique aux messages pour lesquels
le résultat de l’évaluation HELO est :
• Succès - l'adresse IP est autorisée à
effectuer des envois à partir du
domaine (qualifiant SPF "+")
• Échec - l'enregistrement SPF ne
contient pas le serveur d'envoi ni
l'adresse IP (qualifiant SPF "-")
• Échec récupérable - l'adresse IP peut
être ou non autorisée à effectuer des
envois à partir du domaine (qualifiant
SPF "~")
• Neutre - signifie que le propriétaire
du domaine a déclaré dans
l'enregistrement SPF qu'il ne veut pas
affirmer que l'adresse IP est autorisée à
effectuer des envois à partir du
domaine (qualifiant SPF "?")
• Non disponible - le résultat SPF None
signifie qu'aucun enregistrement n'a été
publié par le domaine ou qu'aucun
domaine d'expéditeur qu'il est possible
de vérifier n'a pu être déterminé à partir
de l'identité donnée
Consultez RFC 4408 pour plus de détails
à propos de SPF.
Si vous utilisez un résultat SPF, les listes
blanches de la rubrique Filtrage et
vérification ne sont pas prises en
compte pour les règles.
1
La condition de règle Type de pièce jointe comporte une limitation connue; en effet, le moteur de
détection de ESET Mail Security ne peut pas détecter les très petits fichiers texte d'une longueur inférieure
à 10 octets en codage ASCII/ANSI.
Le type de condition offre les opérations suivantes :
• Chaîne : est, n'est pas, contient, ne contient pas, correspond, ne correspond pas, fait partie de, ne fait pas
partie de, figure sur la liste, ne figure pas sur la liste, correspond à l'expression régulière, ne correspond pas
à l'expression régulière
• Nombre : est inférieur à, est supérieur à, est compris entre
• Texte : contient, ne contient pas, correspond, ne correspond pas
• Date-Heure : est inférieure à, est supérieure à, est comprise entre
• Enum : est, n'est pas, fait partie de, ne fait pas partie de
132
Si Nom de la pièce jointe ou Type de la pièce jointe est Fichier Microsoft Office, elle est traitée par ESET
Mail Security comme archive. Cela signifie que son contenu est extrait et chaque fichier contenu dans
l'archive de fichiers Office (par exemple .docx, .xlsx, .xltx, .pptx, .ppsx, .potx) est analysé séparément.
Si vous désactivez la Protection antivirus dans le menu Configuration ou Paramètres avancés (F5)> Serveur >
Antivirus et anti-logiciel espion pour le transport du courriel et la couche de protection de la base de données
de la boîte de courriels, cela affectera les conditions des règles suivantes :
• Nom de la pièce jointe
• Taille de la pièce jointe
• Type de pièce jointe
• Résultat de l'analyse antivirus
• La pièce jointe est protégée par un mot de passe
• La pièce jointe est une archive corrompue
• Contient une archive endommagée
• Contient une archive protégée par un mot de passe
Action de la règle
Vous pouvez ajouter des actions pour les messages et/ou les pièces jointes qui correspondent aux conditions de
la règle.
Vous pouvez ajouter plusieurs actions pour une règle.
La liste des actions disponibles pour la protection du transport des courriels, la protection de base de données de
boîtes de courriels et l'analyse de la base de données de boîtes de courriels à la demande (certaines options
pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées) :
Nom de l'action
Analyse de la
Protection
Protection de
base de
du
la base de
données de
transport
données de
boîtes de
de
messagerie courriels à la
messagerie
demande
Message de
quarantaine
✓
Quarantaine - pièce
jointe
133
✓
✗
✓
Description
✗
Le message ne sera pas livré au
destinataire et sera déplacé dans la
quarantaine de courriel. Les utilisateurs
non administrateurs peuvent mettre en
quarantaine les courriels selon cette règle
(en utilisant l'interface Web ou les rapports
sur la mise en quarantaine).
✓
Met la pièce jointe du courriel dans la
quarantaine des fichiers. Le courriel sera
remis au destinataire avec la pièce jointe
tronquée à une longueur nulle.
Nom de l'action
Supprimer la pièce
jointe
Analyse de la
Protection
Protection de
base de
du
la base de
données de
transport
données de
boîtes de
de
messagerie courriels à la
messagerie
demande
✓
✓
✓
Supprime la pièce jointe d'un message. Le
message sera livré au destinataire sans
pièce jointe.
Rejeter le message
Supprimer le message
silencieusement
Définir la valeur SCL
Description
✓
✗
✗
Supprimer un message. Pour les courriels
entrants reçus par SMTP, un rapport de
non-remise (NDR - Non-Delivery Report)
doit être généré par le serveur d'envoi.
✓
✗
✗
Supprime un message sans envoyer de
NDR.
✓
✗
✗
Change ou définit une valeur spécifique
SCL.
✓
Envoi des notifications d'événements à un
destinataire spécifié dans Notifications de
courriels. Vous devez activer la
fonctionnalité Envoyer des notifications
d'événement par courriel. Vous pouvez
ensuite personnaliser le format des
messages d'événements (utilisez l'infobulle
pour des suggestions) tout en créant la
règle. Vous pouvez également sélectionner
la verbosité pour les messages
d'événements, mais cela dépend de la
verbosité minimum définit dans la section
Notifications par courriel.
Envoyer des
notifications de
courrielà
l'administrateur
✓
✓
Envoyer une
notification par courriel
Envoi des notifications de courriels à un
destinataire spécifié dans Notifications de
courriels.
Passer l'analyse
antipourriel
✓
✗
✗
Le message ne sera pas analysé par le
moteur antipourriel.
Passer l'analyse
antivirus
✓
✓
✓
Le message ne sera pas analysé par le
moteur antivirus.
Ignorer l'analyse
antihameçonnage
✓
✗
✓
Le message ne sera pas analysé par la
protection anti-hameçonnage.
Ignorer l'analyse ESET
LiveGuard Advanced
✓
✗
✗
Le message ne sera pas validé par la
protection ESET LiveGuard Advanced.
✓
Permet l'évaluation d'autres règles, offrant
à l'utilisateur la possibilité de définir de
multiples ensembles de conditions et
d'actions à entreprendre, en fonction des
conditions données.
Évaluer d'autres règles
✓
134
✓
Nom de l'action
Analyse de la
Protection
Protection de
base de
du
la base de
données de
transport
données de
boîtes de
de
messagerie courriels à la
messagerie
demande
Journaliser les
événements
Description
✓
✓
✓
Inscrit les renseignements sur la règle
appliquée dans le journal du programme et
définit le format des messages
d'événements (utilisez l'infobulle pour des
suggestions).
Si vous configurez le type d'action
Journaliser aux événements pour la
Protection de la base de données de la
boîte de courriels en utilisant le paramètre
%IPAddress%, la colonne Événement dans
les Fichiers journaux sera vide pour cet
événement en particulier. La raison est
qu'il n'y a aucune adresse IP au niveau de la
Protection de la base de données de la
boîte de courriels. Certaines options ne
sont pas disponibles à tous les niveaux de
protection :
%IPAddress% - Ignorée par l'Analyse de la
base de données de boîtes de courriels à la
demande et la Protection de base de
données de boîtes de courriels
%Mailbox% - Ignorée par la Protection du
transport du courriel
Les options suivantes s'appliquent
uniquement aux règles de traitement des
pièces jointes :
%Attname% - ignoré par les règles de
filtrage et les règles de traitement des
résultats
%Attsize% - ignoré par les règles de filtrage
et les règles de traitement des résultats
Ajouter un champ d'en✓
tête
✗
✗
Aoute une chaîne personnalisée à l'en-tête
du message.
Ajouter un préfixe
d'objet
✓
✗
✗
Remplacer la pièce
jointe selon l'action
recommandée
✗
✓
✓
Remplace la pièce jointe par un fichier
texte qui contient des informations
détaillées sur une action entreprise.
Supprimer les champs
d'en-tête
✓
✗
✗
Supprime les champs de l'en-tête du
message en fonction des paramètres
spécifiés.
Supprimer le message
✗
✓
✓
Supprime le message infecté.
Déplacer le message
vers le dossier
✗
✗
✓
Le message sera déplacé dans le dossier
spécifique.
Déplacer le message
dans la corbeille
✗
✗
✓
Place un courriel dans la corbeille du côté
du client de messagerie.
135
Ajouter un préfixe à l'objet
Nom de l'action
Analyse de la
Protection
Protection de
base de
du
la base de
données de
transport
données de
boîtes de
de
messagerie courriels à la
messagerie
demande
Appliquer la politique
DMARC
✓
✗
✗
Description
Si la condition du résultat DMARC est
remplie, le message électronique est traité
conformément à la politique spécifiée dans
l'enregistrement DNS DMARC pour le
domaine de l'expéditeur.
Si vous désactivez la Protection antivirus dans le menu Configuration ou Paramètres avancés (F5) > Serveur >
Antivirus et anti-logiciel espion pour la protection de transport des courriels, cela affectera les actions des règles
suivantes :
• Quarantaine - pièce jointe
• Supprimer la pièce jointe
Exemples de règles
Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce jointe
protégée par mot de passe, endommagée ou chiffrée
Objectif: Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce jointe
protégée par mot de passe, endommagée ou chiffrée
Créer la règle suivante pour la protection du transport du courriel :
Condition
• Type : Résultat de l'analyse antivirus
• Opération : n'est pas
• Paramètre : Nettoyer
Action
Type : Message de quarantaine
Déplacer les messages dont la vérification SPF a échoué dans un dossier indésirable
Objectif: Déplacer les messages dont la vérification SPF a échoué dans un dossier indésirable
Créer la règle suivante pour la protection du transport du courriel :
Condition
• Type : Résultat SPF
• Opération : est
• Paramètre : Échec
Action
• Type : Définir la valeur SCL
• Valeur : 5
Définissez la valeur en fonction du paramètre SCLJunkThreshold de la cmdlet GetOrganizationConfig de votre serveur Exchange. Pour plus de détails, consultez l'article Actions seuils
SCL
Vérifier les courriels qui semble être des mystifications de l’expéditeur
136
Objectif: Vérifier les courriels qui semble être des mystifications de l’expéditeur. Si le message contient
votre propre domaine dans le champ « De : » de l’en-tête de courriel ou de l’expéditeur de l’enveloppe,
effectuez une vérification supplémentaire à l'aide de SPF. Si le résultat de la vérification SPF est neutre,
mettez en quarantaine le message, inscrivez-le au journal des événements et avertissez l’administrateur.
Condition
• Type : Résultat de la comparaison entre l'expéditeur de l'enveloppe et l'en-tête De
• Opération : est
• Paramètre : Correspondance
• Type : résultat SPF - En-tête De
• Opération : est
• Paramètre : Neutre
Action
Type : Mettre le message en quarantaine, Inscrire au journal des événements et Envoyer une notification
d’événement à l’administrateur
Supprimer les messages provenant d'expéditeurs spécifiques
Objectif: Supprimer les messages provenant d'expéditeurs spécifiques
Créer la règle suivante pour la protection du transport du courriel :
Condition
• Type : Expéditeur
• Opération : est / est l'un de
• Paramètre : spammer1@domain.com, spammer2@domain.com
Action
Type : Supprimer le message silencieusement
Liste des adresses IP bloquées
Objectif: Message de mise en quarantaine d’une adresse IP de la liste des adresses IP bloquées; informer
l’administrateur et enregistrer l’événement.
Détails : Si un courriel émane d'une adresse IP figurant sur la liste des adresses IP bloquées, <%PM%>
mettra le message en quarantaine et vous en informera par courriel. Vous pouvez ensuite libérer le
message de la quarantaine ou le supprimer définitivement. Dans le cas contraire, <%PM%> ne transmet pas
le message et n'offre aucune possibilité d'action.
Ouvrir Protection du transport de messagerie
Condition
• Type : Adresse IP de l'expéditeur
• Opération : Figure dans la liste
• Liste Liste des adresses IP bloquées
Action
Type : Mettre le message en quarantaine, Inscrire au journal des événements et Envoyer une notification
d’événement à l’administrateur
Personnaliser la règle prédéfinie
137
Objectif: Personnaliser la règle prédéfinie
Détails : Autorisez les pièces jointes d'archive dans les messages provenant d'adresses IP spécifiées (dans le
cas de systèmes internes, par exemple) lors de l'utilisation de la règle de pièces jointes de fichiers
d'archives interdites
Ouvrez l'ensemble de règles Protection du transport du courriel, sélectionnez Pièces jointes au fichier
d'archives interdites et cliquez sur Modifier.
Condition
• Type : Adresse IP de l'expéditeur
• Opération : n'est pas/n'est aucun
• Paramètre : 1.1.1.2, 1.1.1.50-1.1.1.99
Corps de message
Objectif: Mettre en quarantaine les messages qui contiennent certaines chaînes dans le corps du message
Créer la règle suivante pour la protection du transport du courriel :
Condition
• Type : Corps de message
• Opération : contient/contient l'un des, cliquez sur Ajouter et tapez l'URL du site Web ou une partie de
l'URL
Action
Type : Message de quarantaine
Stocker les messages des destinataires non existants
Objectif: Stocker les messages des destinataires non existants
Détails : Si vous souhaitez mettre en quarantaine tous les messages dont les destinataires n'existent pas
(indépendamment du marquage de la protection antivirus ou antipourriel)
Condition
• Type : Résultat de la validation du destinataire
• Opération : est
• Paramètre : Contient un destinataire invalide
Action
Type : Message de quarantaine
Protection du transport de messagerie
Vous pouvez configurer des actions pour les menaces détectées sur la couche de transport pour chaque module
de ESET Mail Security (Antivirus, Antihameçonnage et Antipourriel) séparément.
Action à entreprendre si le nettoyage est impossible.
• Aucune action : Pour conserver les messages infectés ne pouvant pas être nettoyés
• Message en quarantaine : Placez les messages infectés dans la boîte aux lettres de quarantaine
• Rejeter le message : Pour rejeter un message infecté
• Supprimer le message silencieusement : Pour supprimer les messages sans envoyer de rapport de nonremise
138
Si vous sélectionnez Aucune action et en même temps mettez le niveau de nettoyage à Aucun nettoyage
dans les paramètres de l'antivirus et anti-logiciel espion ThreatSense, alors l'état de la protection prendra la
couleur jaune. En effet, il existe un risque de sécurité et nous ne recommandons pas d'utiliser cette
combinaison. Modifiez l’un ou l’autre paramètre pour obtenir la meilleure protection.
Action à prendre avec un message d’hameçonnage :
• Aucune action : Conservez les messages
• Message en quarantaine : Placez les messages marqués comme hameçonnage dans la boîte aux lettres de
quarantaine
• Rejeter le message : pour rejeter les messages marqués comme hameçonnage
• Supprimer le message silencieusement : Pour supprimer les messages sans envoyer de rapport de nonremise
Action à entreprendre sur les pourriels :
• Aucune action : Conservez les messages
• Message en quarantaine : Placez les messages marqués comme étant du pourriel dans la boîte aux lettres
de quarantaine
• Rejeter le message : Pour rejeter les messages marqués comme pourriel
• Supprimer le message silencieusement : Pour supprimer les messages sans envoyer de rapport de nonremise
Action à exécuter sur les messages dont le domaine est usurpé :
• Aucune action : Conservez les messages
• Mettre le message en quarantaine : Placer les messages marqués comme mystifiés dans la boîte de
courriel de mise en quarantaine
• Rejeter le message : Rejeter les messages marqués comme mystifiés
• Supprimer le message silencieusement : Pour supprimer les messages sans envoyer de rapport de nonremise
139
Enregistrer une copie des pièces jointes nettoyées et supprimées dans la quarantaine de messages
Une copie de la pièce jointe d’origine sera stockée dans le dossier de quarantaine de courriels.
Utiliser du texte personnalisé pour remplacer les pièces jointes supprimées
Lorsque cette option est activée, vous pouvez spécifier du texte personnalisé qui remplace les pièces jointes
supprimées.
Format du texte utilisé pour remplacer les pièces jointes supprimées
Remplace la pièce jointe par un fichier texte qui contient des informations détaillées sur une action entreprise.
Lorsque le paramètre ci-dessus est activé (Utiliser du texte personnalisé), vous pouvez modifier le texte par
défaut avec vos détails personnalisés à l’aide de variables si vous le souhaitez.
Utiliser des variables lors de la personnalisation du texte qui sera utilisé en tant que remplacement pour les
pièces jointes supprimées dans un courriel.
%PRODUCTNAME%
%FILENAME%
%VIRUSNAME%
%DETECTIONNAME%
%FILESIZE%
La pièce jointe %FILENAME%, d’une taille de %FILESIZE%, a été supprimée par %PRODUCTNAME% pour la
raison suivante : %DETECTIONNAME%.
Le format de texte personnalisé aura la sortie visible suivante :
La pièce jointe eicar_com.zip, d’une taille de 184 o, a été supprimée par ESET Mail Security en raison du
fichier Eicar test.
140
Réponse de rejet SMTP
Vous pouvez spécifier un Code de réponse, un Code d'état et un Message de réponse, qui définissent la réponse
de refus temporaire envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire un message de
réponse en respectant le format suivant :
Code de réponse Code d'état
Message de réponse
250
2.5.0
Requête d'action pour le courriel OK, complétée
451
4.5.1
Requête d'action abandonnée : une erreur locale de traitement est survenue
550
5.5.0
Requête d'action non appliquée : la boîte de courriel n'est pas disponible
554
5.6.0
Contenu invalide
Vous pouvez aussi utiliser les variables du système lors de la configuration des Réponses de rejet SMTP.
L'option Ajouter la notification au corps des messages analysés offre trois options :
• Ne pas ajouter aux messages : Les renseignements ne seront pas ajoutés.
• Ajouter aux messages infectés seulement : Affecte uniquement les messages infectés.
• Ajouter à tous les messages (ne s'applique pas aux messages internes) - Tous les messages seront
marqués.
Modifier l'objet
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés, des
pourriels ou des messages de hameçonage.
Modèle ajouté à l'objet des messages infectés
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur définie dans la
zone de texte Modèle ajouté à l'objet des messages infectés (le texte prédéfini par défaut est [found threat
%VIRUSNAME%]). Cette modification peut servir à automatiser le filtrage des messages infectés en filtrant les
courriels ayant un objet spécifique, par exemple en utilisant les règles ou encore, du côté du client (si la prise en
charge par le client de messagerie est possible), à placer de tels messages dans un dossier séparé.
Modèle ajouté à l'objet des messages pourriels
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur définie dans la
zone de texte Modèle ajouté à l'objet des pourriels (le texte prédéfini par défaut est [SPAM]). Cette modification
peut servir à automatiser le filtrage du pourriel en filtrant les courriels ayant un objet spécifique, par exemple en
utilisant les règles ou, de manière alternative, du côté du client (si la prise en charge par le client de messagerie
est possible), à placer de tels messages dans un dossier séparé.
Modèle ajouté à l'objet du message de hameçonnage infecté
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur définie dans la
zone de texte Modèle ajouté à l'objet des message de hameçonnage (le texte prédéfini par défaut est [PHISH]).
Cette modification peut servir à automatiser le filtrage du pourriel en filtrant les courriels ayant un objet
spécifique, par exemple en utilisant les règles ou, de manière alternative, du côté du client (si la prise en charge
par le client de messagerie est possible), à placer de tels messages dans un dossier séparé.
141
Vous pouvez utiliser des variables système lorsque vous éditez le texte qui sera ajouté au sujet.
Paramètres avancés du transport du courriel
Vous pouvez personnaliser les paramètres de la protection du transport du courriel.
Analyser également les messages reçus des connexions authentifiées ou internes
Vous pouvez choisir l'analyse à effectuer sur les messages provenant de sources authentifiées ou de serveurs
locaux. L'analyse de tels messages est recommandée, car elle augmente le niveau de protection; elle s'avère par
ailleurs nécessaire si vous utilisez le Microsoft SBS POP3 Connector intégré pour récupérer des courriels
provenant de serveurs POP3 ou de services de messagerie externes (par exemple Gmail.com, Outlook.com,
Yahoo.com, gmx.dem, etc.). Pour de plus amples renseignements, consultez la section Connecteur POP3 et
protection antipourriel.
Choisissez un niveau de protection dans le menu déroulant. Nous vous recommandons d'utiliser le paramètre
Protection antivirus (paramètre par défaut), en particulier pour les connexions internes, car il est peu probable
que des messages de hameçonnage ou des pourriels soient diffusés par vos serveurs locaux. Toutefois, vous
pouvez augmenter la protection de Microsoft SBS POP3 Connector en choisissant Protection antivirus et
antihameçonnage ou encore Protection antivirus, antihameçonnage et antipourriel.
Ce paramètre active/désactive la protection antipourriels pour les utilisateurs authentifiés et les
connexions internes. Les courriels provenant de connexions non authentifiées sont toujours analysés,
même si vous sélectionnez Ne pas analyser.
Les messages internes provenant d'Outlook à l'intérieur de l'organisation sont envoyés en format TNEF
(Transport Neutral Encapsulation Format). L’antipourriel ne prend pas en charge TNEF. Par conséquent, les
courriels au format TNEF interne ne seront pas analysés à la recherche des pourriels, quel que soit l'état du
paramètre Peut également recevoir des messages provenant de connexions authentifiées ou internes.
Supprimer les en-têtes SCL existants avant l'analyse
Cette option est désactivée par défaut. Vous pouvez le désactiver s'il est nécessaire de conserver l'en-tête SCL
(Spam Confidence Level).
Écrire les résultats de l'analyse dans les en-têtes de message
Lorsque cette option est activée, les résultats de l'analyse sont écrits dans les en-têtes de message. Ces en-têtes
de message commencent par X_ESET, ce qui les rend faciles à reconnaître (par exemple X_EsetResult ou
X_ESET_Antispam).
Protection de la base de données de messagerie
Si l'option Analyse proactive est activée, les nouveaux messages entrants seront analysés dans l'ordre dans lequel
ils ont été reçus. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé,
ce message sera analysé avant les autres messages dans la file d'attente.
142
Analyse en arrière-plan
L'option Analyse en arrière-plan permet d'analyser tous les messages qui sont exécutés en arrière-plan (l'analyse
est appliquée à la boîte de courriel et à la boutique de dossiers publics, par exemple la base de données
Exchange). Microsoft Exchange Server décide si l'analyse en arrière-plan sera effectuée ou non en fonction de
différents facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange
Server conserve un journal des messages analysés et de la version de la base de données des signatures de virus
utilisée.
Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus
contemporaine, Microsoft Exchange Server envoie le message à ESET Mail Security pour fins d'analyse avant que
le client de messagerie ne l'ouvre. Vous pouvez choisir d'Analyser seulement les messages avec des fichiers
joints et de les filtrer en fonction de l'heure de réception. À partir de l'option Limite de temps de l'analyse, vous
pouvez sélectionner une des options suivantes :
• Tous les messages
• Messages reçus au cours de la dernière année
• Messages reçus au cours des 6 derniers mois
• Messages reçus au cours des 3 derniers mois
• Messages reçus au cours du dernier mois
• Messages reçus au cours de la dernière semaine
Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée
143
après chaque mise à jour du moteur de détection), nous vous recommandons d'utiliser l'analyse planifiée en
dehors des heures de travail. L'analyse en arrière-plan planifiée peut être configurée grâce à une tâche spéciale
dans le Planificateur.
Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez définir l'heure de début, le nombre de
répétitions, ainsi que d'autres paramètres disponibles dans le Planificateur. Une fois la tâche planifiée, elle
s'affichera dans la liste des tâches planifiées. Vous pouvez modifier les paramètres de la tâche, la supprimer ou la
désactiver temporairement.
Nombre de fils d'analyse
Le nombre de fils d'analyse peut être compris entre 1 et 21. Vous pouvez définir le nombre de fils d'analyse
indépendants utilisés en même temps. Un nombre élevé de fils sur des ordinateurs multiprocesseurs augmente la
vitesse d'analyse. Pour optimiser les performances du programme, nous vous conseillons d'utiliser un nombre de
fils d'analyse égal au nombre de moteurs d'analyse ThreatSense.
Analyse des corps des messages en format RTF
Cette option permet l'analyse des corps des messages en format RTF. Les corps des messages en format RTF
peuvent contenir des macrovirus.
Le corps des messages en texte brut ne sera pas analysé par VSAPI.
Action à entreprendre si le nettoyage est impossible.
• Aucune action : Aucune modification ne sera effectuée au message.
• Tronquer à la longueur zéro : La pièce jointe tronquée à une longueur nulle.
• Remplacer le contenu avec des informations d'action : Le corps original sera remplacé par des
informations d'action. Le contenu de la pièce jointe sera remplacé par des informations d'action.
• Supprimer le message : Le message sera supprimé
Action à entreprendre sur un message hameçon :
• Aucune action : Aucune modification ne sera effectuée au message.
• Supprimer le message : Le message sera supprimé
Les dossiers publics sont traités de la même manière que les boîtes de courriel. Ce qui veut dire que les
dossiers publics sont aussi analysés.
Analyse en arrière-plan
Ce type de tâche permet d'analyser la base de données à l'aide de VSAPI en arrière-plan. Il permet à votre serveur
Exchange d'exécuter une analyse en arrière-plan si nécessaire. L'analyse est déclenchée par le serveur Exchange
lui-même, ce qui signifie que c'est le serveur Exchange qui décide si l'analyse sera exécutée dans le temps imparti.
Nous vous recommandons d'autoriser l'exécution de cette tâche en dehors des heures de pointe, lorsque votre
serveur Exchange n'est pas occupé, par exemple pendant la nuit. En effet, l'analyse de la base de données en
arrière-plan pourrait augmenter la charge de travail de votre système. En outre, l'intervalle de temps ne devrait
144
pas coïncider avec celui des sauvegardes qui pourraient être en cours d'exécution sur votre serveur Exchange afin
d'éviter des problèmes de performances ou de disponibilité.
La protection de la base de données de boîte de courriels doit être activée pour que la tâche planifiée
s'exécute. Ce type de protection est seulement offert avec Microsoft Exchange Server 2010 et 2007
fonctionnant dans le Serveur de la boîte de messagerie.
Délai d'attente (heures)
Indique le nombre d'heures pendant lesquelles votre serveur Exchange est autorisé à exécuter l'analyse de la
base de données en arrière-plan à compter du moment où la tâche planifiée est exécutée. Une fois que le délai
expire, Exchange reçoit l'ordre de mettre fin à son analyse en arrière plan.
Analyse de la base de données de boîtes de courriels à
la demande
Si vous exécutez Microsoft Exchange Server 2010, vous pouvez choisir entre Protection de la base de
données de la boîte de courriel et Analyse de la base de données à la demande. Un seul type de protection
peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données de boîte de
courriels à la demande, vous devrez désactiver l'intégration de la Protection de la base de données de la
boîte de courriels dans Configuration avancée (F5) sous Serveur. Sinon l'option Analyse de la base de
données de boîtes de courriels à la demande ne sera pas disponible.
Adresse de l'hôte - Nom ou adresse IP du serveur qui exécute EWS (Exchange Web Services).
Nom d’utilisateur : Spécifiez les identifiants d'un utilisateur qui dispose d'un accès approprié à EWS.
Mot de passe de l'utilisateur - Cliquez Définir à côté de l'élément Mot de passe de l'utilisateur et tapez le mot de
passe pour ce compte.
Pour analyser les dossiers publics, le compte utilisé pour l'analyse de la base de données de boîte de
courriels à la demande doit avoir une boîte de courriels. Sinon, le message Failed to load public folders
apparaitra dans le journal d'analyse de la base de données ainsi qu'un message plus spécifique retourné
par Exchange.
Méthode d’accès à la boîte aux lettres : Vous permet de sélectionner votre méthode d’accès à la boîte aux lettres
préférée :
• Emprunt d'identité : Le rôle ApplicationImpersonation est une configuration plus simple et plus rapide qui
doit être assigné au compte d'analyse.
Attribuer le rôle ApplicationImpersonation à un utilisateur
Si cette option n’est pas disponible, vous devez spécifier un nom d’utilisateur. Cliquez sur Assigner pour assigner
automatiquement le rôle Imitationd'uneapplication à l'utilisateur sélectionné. De manière alternative, vous
pouvez assigner le rôle Imitationd'uneapplication manuellement à un compte utilisateur. Une nouvelle stratégie
de limitation EWS illimitée est créée pour le compte utilisateur. Pour en savoir plus, voir les Détails de l'analyse de
la base de données du compte.
• Délégation : utilisez ce type d'accès si vous souhaitez disposer de droits d'accès définis sur des boîtes de
145
courriels individuelles, mais que vous pouvez fournir des vitesses plus élevées lors de l'analyse de grandes
quantités de données.
Attribuer un accès délégué à un utilisateur
Si cette option n’est pas disponible, vous devez spécifier un nom d’utilisateur. Cliquez sur Attribuer pour
accorder automatiquement à l'utilisateur sélectionné un accès complet à toutes les boîtes de courriels utilisateur
et partagée. Une nouvelle stratégie de limitation EWS illimitée est créée pour le compte utilisateur. Pour en savoir
plus, voir les Détails de l'analyse de la base de données du compte.
Utiliser le protocole SSL
SSL doit être activé si EWS est défini sur Exiger SSL dans IIS. Si le protocole SSL est activé, il faut importer le
certificat Exchange Server dans le système à l'aide de ESET Mail Security (au cas où les rôles serveur Exchange se
trouvent sur différents serveurs). Il est possible d'accéder aux paramètres d'EWS dans IIS, à partir de Sites/Default
website/EWS/SSL Settings.
Désactiver l'option Utiliser le protocole SSL seulement dans le cas où la configuration dans IIS est réglée
pour ne pas exiger le protocole SSL.
Ignorer l'erreur de certificat de serveur : Si vous utilisez un certificat auto-signé, vous pouvez ignorer l'erreur de
certificat du serveur.
Certificat client : Doit être défini seulement si EWS exige un certificat client. Cliquez sur Sélectionner pour
sélectionner un certificat.
Action à entreprendre si le nettoyage est impossible - Ce champ d'actions vous permet de bloquer le contenu
infecté.
• Aucune action - Aucune action n'est entreprise contre le contenu infecté du message.
• Déplacer le message dans la corbeille - Cette action n'est pas prise en charge s'il s'agit d'éléments se
trouvant dans le Dossier public. L'action Supprimer l'objet est donc appliquée à la place.
• Supprimer l'objet - Supprime le contenu infecté du message.
• Supprimer le message - Supprime l'ensemble du message, y compris le contenu infecté.
• Remplacer l’objet par des informations d’action : Supprime un objet et inclut des informations sur l’objet
qui a été supprimé.
Action recommandée sur les messages d’hameçonnage :
• Aucune action - Pour conserver le message même s'il est marqué comme hameçon.
• Déplacer le message dans la corbeille - Cette action n'est pas prise en charge s'il s'agit d'éléments se
trouvant dans le Dossier public. L'action Supprimer l'objet est donc appliquée à la place.
• Supprimer le message - Supprime l'ensemble du message, y compris le contenu infecté.
Nombre de fils d'analyse
Vous pouvez spécifier le nombre de processus que ESET Mail Security doit utiliser pendant l'analyse de la base de
146
données. Plus le nombre est élevé, meilleure est la performance. Cependant, une augmentation des
performances utilise plus de ressources. Ajustez ce paramètre à la valeur souhaitée en fonction de vos besoins. La
valeur par défaut est 4 fils d'analyse.
Si vous configurez l'analyse de la base de données de boite de courriels à la demande de manière à utiliser
un nombre de fils élevé, alors la charge devient importante pour votre système, ce qui pourrait ralentir
d'autres processus ou même l'ensemble du système. Vous pourrez recevoir un message d'erreur indiquant
« Nombre de connexions simultanées ouvertes trop élevé ».
Microsoft 365
Visible uniquement si vous disposez d'un environnement hybride Microsoft 365.
Compte utilisateur pour l’analyse d’un dossier public
Si vous souhaitez analyser des dossiers publics, fournissez un nom de compte d’utilisateur principal (mot de passe
non requis) pour l’emprunt d’identité. Assurez-vous que la configuration de ce compte d’utilisateur ait accès à
tous les dossiers publics.
Analyse de la base de données de la boîte de courriels
L'exécution d'une analyse complète de la base de données de courriels dans de grands environnements peut
entraîner des charges système indésirables. Pour éviter ce problème, exécutez une analyse sur des bases de
données ou des boîtes de courriel spécifiques. Réduisez encore l'impact du système serveur en filtrant les cibles
d'analyse à l'aide d'horodatages de message.
Des règles pour l'analyse de la base de données de boîtes de courriels à la demande mal définies peuvent
entraîner des modifications irréversibles dans les bases de données de boîtes courriels. Assurez-vous
toujours d'avoir la sauvegarde la plus récente de vos bases de données de boîtes de courriels avant
d'exécuter l'analyse de la base de données de boîtes de courriels à la demande avec des règles en place
pour la première fois. En outre, nous vous recommandons fortement de vérifier que les règles fonctionnent
conformément aux attentes.
Pour des besoins de vérification, définissez des règles avec l'action Journaliser aux événements
uniquement, car toute autre action peut apporter des modifications à vos bases de données de boîtes aux
lettres. Une fois vérifiée, vous pouvez ajouter des actions de règle destructives telles que Supprimer la
pièce jointe.
Les types d'éléments suivants sont analysés à fois dans les dossiers Publics et dans les Boîtes de courriel de
l'utilisateur :
• Courriel
• Publier
• Élément du calendrier (réunions/rendez-vous)
• Tâches
• Contacts
• Journal
147
À l'aide de la liste déroulante, sélectionnez les messages que vous voulez analyser selon leur estampille horaire.
Par exemple, analyser les messages modifiés au cours de la dernière semaine. Vous pouvez aussi choisir
d'analyser tous les messages au besoin.
Cochez la case à cocher située à côté de l'option Analyser uniquement les messages avec des pièces jointes pour
activer ou désactiver l'analyse des pièces jointes. Cliquez sur Modifier pour sélectionner le dossier public à
analyser.
Cliquez sur l’icône
et modifiez l’intervalle pour arrêter l’analyse si elle dure plus de (minutes) et utilisez plutôt
une durée de préférence (située entre 1 et 2880 minutes).
Cochez la ou les cases à côté des Bases de données du serveur et des Boîtes de courriel que vous voulez analyser.
L'option Filtre vous permet de rechercher rapidement des Bases de données et des Boîtes de courriel, surtout
votre infrastructure Exchange contient un grand nombre de boîtes de courriel.
148
Cliquez sur Enregistrer pour enregistrer vos cibles d'analyse et vos paramètres dans le profil Analyse à la
demande. Vous pouvez maintenant cliquer sur Analyser. Dans le cas où vous n'avez pas précédemment spécifié
les détails du compte d'analyse de la base de données, une fenêtre s'ouvrira demandant des informations
d'identification. Sinon l'option Analyse de la base de données de boîtes de courriels à la demande ne démarrera
pas.
Si vous ne voyez pas la boîte aux lettres administrateur intégrée, vérifiez que l’attribut UserPrincipalName n’est
pas vide.
Si vous exécutez Microsoft Exchange Server 2010 ou 2010, vous pouvez choisir entre Protection de base de
données de boîtes de courriels et Analyse de base de données de boîtes de courriels à la demande. Un seul
type de protection peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données
de boîtes de courriels à la demande, vous devrez désactiver l'intégration de la Protection de base de
données de boîtes de courriels dans Configuration avancée sous Serveur. Sinon l'option Analyse de la base
de données de boîtes de courriels à la demande ne sera pas disponible.
Analyse des boîtes aux lettres Microsoft 365
ESET Mail Security fournit des fonctionnalités d'analyse pour les environnements hybrides Microsoft 365. Cette
option est disponible et visible dans ESET Mail Security uniquement si vous disposez d'un environnement
Exchange hybride (sur site et dans le nuage). Les deux scénarios de routage sont pris en charge par Exchange
Online ou par l'organisation sur site. Pour plus de détails, consultez la section Routage de transport dans les
déploiements hybrides Exchange.
Pour activer cette fonctionnalité, enregistrez l’analyseur ESET Mail Security.
149
Vous pouvez analyser les boîtes de courriels distantes et les dossiers publics Microsoft 365 comme vous le feriez
avec l'analyse de la base de données de boîtes de courriels à la demande classique.
L'exécution d'une analyse complète de la base de données de courriels dans de grands environnements peut
entraîner des charges indésirables sur le système. Pour éviter ce problème, exécutez une analyse sur des bases de
données ou des boîtes de courriel spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre de
temps en haut de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, sélectionnez plutôt
Analyser les messages modifiés au cours de la dernière semaine.
Nous vous recommandons de configurer Microsoft 365. Appuyez sur la touche F5 et cliquez sur Serveur > Analyse
de la base de données de la boîte aux lettres à la demande. Consultez également Détails du compte d'analyse de
la base de données.
Pour voir l'activité de l'analyse des boîtes aux lettres Office 365, accédez à Fichiers journaux > Analyse de la base
de données de la boîte aux lettres.
Éléments de boîte de courriel supplémentaires
L'analyseur de base de données de boîtes de courriels à la demande vous permet d'activer ou de désactiver
l'analyse des autres types d'éléments de boîtes de courriels :
• Analyser l'agenda
• Analyser les tâches
• Analyser les contacts
150
• Analyser le journal
Si vous éprouvez des problèmes liés à la performance, vous pouvez désactiver l'analyse de ces éléments. La
durée des analyses sera plus longue lorsque ces éléments sont activés.
Serveur mandataire
Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et Exchange Server où
ESET Mail Security est installé, spécifiez les paramètres de votre serveur mandataire. Cette exigence s'explique
par le fait que ESET Mail Security se connecte à EWS (Exchange Web Services) API par l'entremise du protocole
HTTP/HTTPS. Sinon, la boîte de courriels de mise en quarantaine et la quarantaine Microsoft Exchange ne
fonctionneront pas.
Serveur mandataire
Entrez l'adresse IP ou le nom du serveur mandataire que vous utilisez.
Port
Entrez le numéro de port du serveur mandataire.
Nom d'utilisateur, Mot de passe
Entrez l'authentifiant dans le cas où votre serveur mandataire exige une authentification.
Détails du compte d'analyse de la base de données
Cette boîte de dialogue s’affiche si vous devez toujours spécifier un nom d’utilisateur et un mot de passe pour
l’analyse de base de données. Spécifiez l'authentifiant de l'utilisateur qui a accès à EWS (Exchange Web Services)
dans cette fenêtre et cliquez sur OK. Vous pouvez également accéder à Configuration avancée > Serveur >
Analyse de base de données de boîtes de courriels à la demande.
1. Tapez votre nom d'utilisateur, cliquez sur Définir, tapez un mot de passe pour ce compte utilisateur, puis
cliquez sur OK.
2. Cochez la case à côté de Enregistrer les informations relatives au compte pour enregistrer les paramètres
du compte. Ainsi, vous n'aurez pas à saisir les informations relatives au compte à chaque exécution d'une
analyse de la base de données de boîtes de courriels à la demande.
151
Si un compte utilisateur n'a pas l'accès approprié à Exchange Web Services (EWS), vous pouvez sélectionner Créer
une assignation de rôle « ApplicationImpersonation » pour attribuer ce rôle à un compte utilisateur. Vous
pouvez également attribuer le rôle ApplicationImpersonation manuellement.
Le compte d'analyse doit avoir les droits ApplicationImpersonation pour que le moteur d'analyse puisse
analyser les boîtes de courriel des utilisateurs dans les bases de données des boîtes de courriel Exchange. Si
vous utilisez Exchange Server 2010 ou une version ultérieure, une nouvelle politique de limitation EWS
illimitée est créée pour le compte utilisateur.
Assurez-vous de configurer une politique de limitation EWS pour le compte d'analyse afin d'empêcher un
nombre trop élevé de demandes d'opération de la part de ESET Mail Security. Veuillez consulter les articles
Meilleures pratiques EWS et Comprendre les politiques de limitation client pour en apprendre davantage
sur les politiques de limitation. Voir également l'article Modifier les paramètres de limitation de l'utilisateur
pour des utilisateurs spécifiques pour plus de détails et d'exemples.
Si vous souhaitez attribuer un rôle ApplicationImpersonation à un compte d'utilisateur manuellement et créer de
nouvelles politiques de limitations de bande passante EWS pour ce compte, vous pouvez utiliser les commandes
suivantes (remplacez ESET-user par un nom de compte réel dans votre système; vous pouvez également définir
des limites pour la politique de limitation de bande passante EWS en remplaçant $null par des chiffres) :
Exchange Server 2010
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user
Cette opération peut prendre quelques instants
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null EWSPercentTimeInAD $null -EWSPercentTimeInCAS $null EWSPercentTimeInMailboxRPC $null
Set-ThrottlingPolicyAssociation -Identity user-ESET -ThrottlingPolicy ESETThrottlingPolicy
Exchange Server 2013, 2016 et 2019
152
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user
Cette opération peut prendre quelques instants
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESETThrottlingPolicy
Types de quarantaine de courriels
Le gestionnaire de Quarantaine de courriel est offert avec les trois types de Quarantaine :
• Quarantaine locale
• Boîte de courriel de mise en quarantaine
• Quarantaine de Microsoft Exchange
Vous pouvez voir le contenu de la quarantaine de messagerie de Microsoft Exchange dans le gestionnaire de
quarantaine de messagerie. En outre, vous pouvez afficher la quarantaine locale dans l’interface Web de la
quarantaine de courriels.
Stocker les messages des destinataires non existants
Ce paramètre s'applique aux messages marqués pour être mis en quarantaine par une protection antivirus, une
protection antipourriel ou en fonction des règles. Lorsque cette fonction est activée, les messages qui sont
envoyés aux utilisateurs qui n'existent pas dans votre Active Directory sont stockés dans la Quarantaine à
courriels. Désactivez cette option si vous ne souhaitez pas conserver ces messages dans votre Quarantaine à
courriels. Lorsque cette fonction est désactivée, les messages envoyés aux destinataires inconnus seront
supprimés en silence.
Consultez l'exemple : si vous souhaitez mettre en quarantaine tous les messages dont les destinataires n'existent
pas.
Ignorer l'évaluation des règles lors de la libération des courriels
Si vous voulez libérer un message de la quarantaine, ce message ne sera pas évalué à l'aide des règles. Cela
permet d'éviter que le message ne retourne en quarantaine; le message libéré sera livré au destinataire. Cette
fonction n'est utilisée que lorsque l'administrateur libère le message. Si vous désactivez cette fonctionnalité, ou si
un message est libéré par un utilisateur autre que l'administrateur, le message sera évalué à l'aide des règles.
Si vous exécutez un environnement en grappe et sortez un message de la quarantaine, le message ne sera
pas remis en quarantaine par les autres nœuds ESET Mail Security. C’est le cas grâce à la synchronisation
des règles entre les nœuds de la grappe.
Amorce de signature de courriel pour un environnement multiserveur
Vous permet d'ignorer l'évaluation des règles lors de la publication des courriels dans un environnement
multiserveur. Tapez la même valeur d'amorce (une chaîne de caractères, par exemple, une phrase secrète) sur
tous les serveurs entre lesquels vous souhaitez établir un lien de confiance.
153
Format pour l'enveloppe de pièce jointe
Lorsqu’un courriel est libéré de la quarantaine, il est joint à un nouveau message (enveloppe de pièce jointe), qui
est ensuite remis au destinataire. Le destinataire reçoit le message d'origine en cours de libération de la
quarantaine de courriels en tant que pièce jointe. Vous pouvez utiliser le format d’enveloppe prédéfini ou le
modifier en fonction de vos besoins à l’aide des variables disponibles.
Utiliser la grappe ESET pour stocker tous les messages mis en quarantaine sur un nœud
Si vous utilisez la grappe ESET, cette option sera disponible. Nous vous recommandons d'utiliser cette fonction,
car elle vous permet de conserver le magasin de fichiers Quarantaine locale en un seul endroit, le nœud principal.
Nœud principal
Spécifiez quel serveur est le nœud maître de votre grappe ESET. Vous allez accéder à votre dossier de quarantaine
local sur le nœud principal et le gérer (vous pouvez utiliser le gestionnaire de quarantaine de courriels à partir de
le fenêtre principale de programme ou de l'interface Web de la quarantaine de courriels.
Quarantaine locale
La quarantaine locale utilise le système de fichiers local pour stocker les courriels mis en quarantaine et une base
de données SQLite comme index. Les fichiers de courriel mis en quarantaine qui sont stockés, tout comme les
fichiers de base de données, sont chiffrés pour des raisons de sécurité. Ces fichiers se trouvent sous
C:\ProgramData\ESET\ESET Mail Security\MailQuarantine (dans Windows Server 2012).
Si vous voulez stocker les fichiers en quarantaine sur un autre lecteur, autre que , le lecteur par défaut,
remplacez le dossier de données par le chemin d'accès de votre choix pendant l'installation de ESET Mail
Security.
Fonctionnalités de la Quarantaine locale :
• Les pourriels et les courriels en quarantaine seront stockés dans un système de fichiers local, et pas dans
une base de données de boîte de courriels Exchange.
• Chiffre et compresse les fichiers de courriel en quarantaine stockés localement
• Interface Web de la quarantaine de courriel comme alternative au Gestionnaire de la quarantaine de
courriel.
• Envoie des rapports de quarantaine en tant que tâche planifiée à une adresse courriel spécifique
• Supprime les fichiers de courriel en quarantaine de la fenêtre de quarantaine (après 21 jours par défaut)
et les stocke dans un système de fichiers jusqu'à leur suppression automatique après un nombre de jours
spécifique
• Supprime automatiquement les anciens fichiers de courriel (après trois jours par défaut); pour plus
d'informations, consultez la rubrique Paramètres de stockage des fichiers
• Vous pouvez restaurer les fichiers de courriel mis en quarantaine à l'aide d'eShell (en supposant qu'ils
n'ont pas encore été supprimés du système de fichiers).
• Inspectez les courriels mis en quarantaine et décidez de les supprimer ou de les libérer. Pour afficher et
154
gérer les courriels mis en quarantaine locale, vous pouvez utiliser le gestionnaire de la quarantaine de
courriel à partir de le fenêtre principale de programme principale ou de l'interface Web de la Quarantaine
de courriel.
L'inconvénient de l'utilisation de la quarantaine locale est que si vous exécutez ESET Mail Security sur
plusieurs serveurs avec des rôles de serveur de transport Hub, vous devez gérer la quarantaine locale de
chaque serveur séparément. Plus vous avez de serveurs de courriels, plus vous devrez gérer la quarantaine.
Stockage de fichiers
Dans cette section, vous pouvez modifier les paramètres de stockage des fichiers utilisés par la quarantaine
locale.
Compresser les fichiers mis en quarantaine
Les fichiers compressés mis en quarantaine occupent moins d’espace disque, mais si vous décidez de ne pas
compresser les fichiers, vous pouvez cliquer sur le commutateur d’activation/désactivation pour désactiver la
compression.
Effacer les anciens fichiers après (jours)
Après avoir été conservés pendant un certain nombre de jours, les messages sont retirés de la fenêtre de
quarantaine. Toutefois, les fichiers ne seront pas supprimés du disque. Étant donné que les fichiers ne sont pas
supprimés du système de fichiers, vous pouvez les récupérer à l’aide de eShell.
Effacer les fichiers supprimés après (jours)
Ce paramètre supprime les fichiers du disque après le nombre de jours spécifié et il n’est pas possible de les
récupérer après leur suppression (à moins de disposer d'une solution de sauvegarde du système de fichiers).
Interface Web
L'interface Web de la Quarantaine de courriel est une alternative au gestionnaire de la quarantaine de courriel.
Cependant, elle est seulement disponible pour la Quarantaine local.
L'interface Web de la quarantaine de courriel n'est pas disponible sur un serveur avec le rôle Edge
Transport Server, car Active Directory n'est pas accessible pour l'authentification.
L’interface Web de la Quarantaine de messages permet d’afficher l’état de mise en quarantaine des messages. Il
permet également de gérer les courriels mis en quarantaine. Il est possible d'accéder à cette interface Web à
partir des liens contenus dans les rapports de quarantaine ou en entrant une lien dans un navigateur Web.
Pour accéder à l'interface Web de la Quarantaine de courriel, vous devez vous authentifier en utilisant
l'authentifiant de domaine. L'authentification d'un utilisateur de domaine se fera automatiquement avec
Microsoft Internet Explorer ou Edge. Cependant, le certificat de la page Web doit être valide, l'option Connexion
automatique doit être activée dans Microsoft Internet Explorer et le site Web de la Quarantaine de courriel doit
être ajouté aux sites intranet locaux.
N’importe quel utilisateur dans Active Directory peut accéder à l’interface Web de mise en quarantaine de
courriel, mais il ne verra que les éléments mis en quarantaine envoyés à son adresse de courriel (y compris les
155
alias de l’utilisateur). L'administrateur est capable de voir tous les éléments mis en quarantaine pour tous les
destinataires.
ESET Mail Security n'utilise pas IIS pour exécuter l'interface Web de quarantaine de messagerie. En
revanche, il utilise l'API du serveur HTTP, y compris la prise en charge du protocole SSL, pour permettre
l'échange de données sur des connexions HTTP sécurisées.
URL Web
Il s'agit de l'URL permettant d’accéder à l'interface de la quarantaine de courriel. Par défaut, il s’agit du nom de
domaine complet du serveur avec /quarantine (par exemple, mailserver.company.com/quarantine).
Vous pouvez spécifier votre propre répertoire virtuel a la place du répertoire par défaut /quarantine. Vous
pouvez changer l'url Web à tout moment en modifiant sa valeur.
La valeur Web doit être spécifiée sans schéma (HTTP, HTTPS) ni numéro de port; utilisez uniquement le formulaire
fqdn/virtualdirectory. Vous pouvez aussi utiliser des caractères génériques au lieu du nom de domaine complet.
Après avoir modifié l’URL Web, vous ne pouvez pas revenir à la valeur par défaut en cliquant sur l’icône de Retour
. Supprimez l'entrée et laissez la boîte de texte vide. Redémarrez votre serveur. Lorsque ESET Mail Security
démarre et trouve que l'url Web est vide, il remplit ce champ automatiquement à l'aide de la valeur par défaut
fqdn/quarantine.
ESET Mail Security prend en charge les urls Web dans quatre formats différents :
Caractères génériques forts (+/quarantine)
Explicite (mydomain.com/quarantine)
Caractères génériques faibles liés à l'IP (192.168.0.0/quarantine)
Caractères génériques faibles (*/quarantine)
Consultez la section Catégories de spécification d'hôte de l'article Chaînes UrlPrefix pour plus de
renseignements.
Web et langue du rapport
Cette fonctionnalité vous permet de définir la langue de l’interface Web de la mise en quarantaine du courriel et
des rapports de quarantaine.
Port HTTPS
Le port HTTPS est utilisé pour l'interface Web. Le numéro de port par défaut est 443.
Port HTTP
Port HTTP - Utilisé pour libérer les courriels de la quarantaine par l'intermédiaire des rapports sur les courriels.
Si vous n'avez pas de certificat SSL installé sur IIS, configurez la liaison de port HTTPS. Si vous modifiez le
numéro de port pour HTTPS ou HTTP, assurez-vous d'ajouter la liaison de port dans IIS.
Consigner l'action de libération dans les événements
Lorsque vous libérez des éléments de la mise en quarantaine, cette action est écrite dans Fichiers journaux.
Activer les administrateurs par défaut
Par défaut, les membres du groupe Administrateurs disposent d'un accès administrateur à l'interface Web de
156
Quarantaine de courriels. L'accès Administrateur n'a pas de restrictions et permet à l'administrateur de voir tous
les éléments mis en quarantaine, quels que soient les destinataires. Si vous désactivez cette option, seuls les
comptes d’utilisateurs d’administrateur peuvent accéder à l’interface Web de la mise en quarantaine de courriels.
Droits d'accès supplémentaires
Cette fonctionnalité permet aux utilisateurs de gérer la quarantaine de courriels d’autres utilisateurs. Vous
pouvez créer des administrateurs de quarantaine en accordant à un utilisateur (ou à un groupe) un accès
supplémentaire à l’interface Web de la mise en quarantaine des courriels d’un autre utilisateur (ou de tous les
membres d’un groupe) pour gérer les éléments mis en quarantaine.
1. Cliquez sur Modifier pour ouvrir la fenêtre des droits d'accès supplémentaires; cliquez ensuite sur Ajouter.
2. Cliquez sur Sélectionner et utilisez le sélecteur d’objet d’Active Directory pour choisir un utilisateur ou un
groupe dont les membres auront accès à la mise en quarantaine de courriels.
3. Sélectionnez le type d’accès dans le menu déroulant :
• Administrateur - l'utilisateur a un accès administrateur à l'interface Web de quarantaine de courriels.
• Accès délégué : L’utilisateur (délégué) est autorisé à voir et à gérer les messages mis en quarantaine pour
un autre destinataire. Indiquez l'adresse du destinataire en saisissant l'adresse courriel d'un utilisateur dont
les messages en quarantaine seront gérés par le délégué. Si un utilisateur possède des pseudonymes dans
Active Directory, vous pouvez ajouter des droits d'accès supplémentaires à chaque pseudonyme si vous le
voulez.
• Utilisateur ou groupe délégué : Identique à l’accès délégué, et l’utilisateur peut également utiliser le
sélecteur d’objet d’Active Directory pour choisir un utilisateur ou un groupe dont la quarantaine des
membres sera gérée.
157
4. Cliquez sur Sélectionner et choisissez un utilisateur ou un groupe dont la quarantaine du membre sera
gérée par le délégué sélectionné à l’étape 2.
Un exemple d'utilisateurs qui ont obtenu des droits d'accès supplémentaires à l'interface Web de quarantaine de
courriels :
Pour accéder à l'interface Web de Quarantaine de courriel, ouvrez votre navigateur Web et utilisez l'URL spécifiée
dans Configuration avancée (F5) > Serveur > Quarantaine de courriel > Interface Web > URL Web.
Version
158
Libère le ou les courriels vers le ou les destinataires à l'aide du répertoire Replay et le supprime de la quarantaine.
Cliquez sur Soumettre pour confirmer l'action.
Lors de la libération des courriel de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il peut
facilement être mystifié. À la place, l'information de destinataire initial obtenue grâce à la commande RCPT
TO: pendant la connexion SMTP est utilisée. Cela garantit que le message qui est libéré de la quarantaine
sera remis au bon destinataire.
Supprimer
Cette fonctionnalité permet de supprimer des éléments de la quarantaine. Cliquez sur Soumettre pour confirmer
l'action.
Lorsque vous cliquez sur Objet, une fenêtre contextuelle s'ouvrire contenant des détails sur le courriel mis en
quarantaine comme le Type, la Raison, l'Expéditeur, la Date, les Fichiers joints, etc.
Cliquez Afficher les en-têtes pour vérifier l'en-tête du courriel mis en quarantaine.
159
Au besoin, cliquez sur Libérer ou Supprimer pour entreprendre une action contre un courriel mis en quarantaine.
Vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement de l'interface Web
de la Quarantaine de courriel. Sinon, cliquez sur Atteindre pour faire basculer la vue de la quarantaine
vers l'écran précédent.
Si vous rencontrez des problèmes pour accéder à l'interface Web de quarantaine de courriels à partir de
votre navigateur ou si vous obtenez l'erreur HTTP Error 403.4 - Forbidden ou un message similaire, vérifiez
le type de quarantaine qui est sélectionné et assurez-vous qu'il s'agit d'une quarantaine locale et que
l'option Activer l'interface Web est activée.
160
Envoyer les rapports de quarantaine de courriel - tâche
planifiée
Les rapports de mise en quarantaine des messages sont des courriels de notification envoyés aux utilisateurs et
aux administrateurs sélectionnés pour les informer au sujet de leurs courriels mis en quarantaine par ESET Mail
Security. Les rapports contiennent des liens qui vous permettent, ainsi qu'aux utilisateurs qui reçoivent les
rapports de mise en quarantaine des messages, de supprimer ou de diffuser (envoyer) un courriel faux positif (FP)
directement. La livraison de certains messages filtrés par des règles ou mis en quarantaine par la protection
antivirus n'est pas autorisée pour les utilisateurs ordinaires.
Pour commencer à envoyer des rapports de quarantaine, créez une tâche planifiée (Outils > Planificateur >
Ajouter une tâche) et sélectionnez le type de tâche Envoyer des rapports de quarantaine du courriel ou
Envoyer des rapports administrateurs de quarantaine de courriel. Lors de la sélection des destinataires, les
boîtes aux lettres liées sont incluses dans la liste des boîtes aux lettres disponibles.
La tâche Envoyer des rapports de quarantaine/Envoyer des rapports administrateurs de quarantaine envoie un
rapport sur la mise en quarantaine des messages par courriel en fonction de la tâche planifiée spécifiée. Voici un
exemple de rapport sur la mise en quarantaine des courriels de l'utilisateur :
161
Le rapport sur la mise en quarantaine des courriels contient également un lien vers Interface Web de mise en
quarantaine des courriels pour l'utilisateur (ouvrir la visionneuse en ligne).
La tâche Envoyer des rapports de quarantaine de courriel est disponible uniquement lorsque vous utilisez
la mise en quarantaine locale. Vous ne pourrez pas l'utiliser avec la boîte de courriels de quarantaine et la
quarantaine MS Exchange.
Adresse de l'expéditeur
Permet de spécifier une adresse de courriel qui sera affichée en tant qu'expéditeur du rapport sur la mise en
quarantaine des courriels.
Nombre d'enregistrements maximum dans le rapport
Vous pouvez limiter le nombre d'entrées dans chaque rapport. Le nombre par défaut est de 50.
URL Web
Cette adresse URL sera incluse dans le rapport sur la mise en quarantaine des courriels, ce qui fait en sorte que le
destinataire peut simplement cliquer sur le lien pour accéder à l'interface Web de la Quarantaine de courriel.
Destinataires
Permet de choisir les utilisateurs qui recevront les rapports sur la mise en quarantaine des courriels. Cliquez sur
Modifier pour sélectionner les boîtes aux lettres de destinataires précis (les boîtes aux lettres liées sont
également prises en charge).
Le rapport Quarantaine de courriel ne sera envoyé que s'il y a des messages en quarantaine. Si la
quarantaine est vide ou s’il n’y a pas de nouveaux éléments depuis le dernier rapport, le rapport ne sera
pas envoyé. Lorsque le rapport de quarantaine de courriel est envoyé, il ne contient que les éléments
nouvellement ajoutés depuis le dernier rapport (et non l'ensemble du contenu de la quarantaine).
Objectif: Créez une tâche planifiée pour vous envoyer régulièrement des rapports sur la mise en
quarantaine des courriels en tant qu'administrateur ou pour informer les utilisateurs de leurs pourriels
actuellement stockés dans la quarantaine des courriels.
Accédez à Outils > Planificateur > Ajouter une tâche et ouvrez l'assistant.
Tapez le nom de la tâche et sélectionnez le type de tâche dans le menu déroulant.
Envoyer des rapports de quarantaine de courrier (le rapport ne contiendra que des pourriels précis de
l'utilisateur) ou Envoyer des rapports sur la mise en quarantaine de courriels à l'administrateur (le rapport
contiendra tous les messages, la quarantaine complète); cliquez sur Suivant.
Sélectionnez l'une des options suivantes pour définir le moment d'exécution de la tâche planifiée : Par
exemple, Hebdomadaire, chaque vendredi à 10 h.
Spécifier l'adresse de l'expéditeur (administrateur@mondomaine.com).
Cliquez sur Modifier pour ajouter des destinataires à partir de la liste. Permet de choisir les boîtes de
courriels des utilisateurs qui recevront les rapports sur la mise en quarantaine des courriels.
Interface Web de la quarantaine de courriels pour
l'utilisateur
Vous avez accès à une interface Web où vous pouvez gérer les messages mis en quarantaine tels que les pourriels,
les messages mystifiés ou les hameçons, ainsi que les messages filtrés par des règles définies par l'administrateur.
162
Normalement, vous pouvez uniquement voir les messages envoyés à votre adresse courriel et mis en
quarantaine. Toutefois, si la gestion des messages mis en quarantaine d'autres utilisateurs vous a été déléguée,
vous verrez également les messages de ces utilisateurs. Vous pouvez distinguer les messages par les destinataires.
Utilisez la fonction de recherche pour filtrer les messages par destinataire, par exemple.
Vous pouvez choisir une action à exécuter avec un ou plusieurs messages, tels que Libérer, Supprimer ou Aucune
action. La disponibilité des actions dépend du niveau d'accès et des paramètres de la règle. Par exemple, vous ne
pourrez peut-être pas libérer ou supprimer certains types de messages.
Si vous avez reçu un accès administrateur, vous verrez tous les messages mis en quarantaine pour tous les
utilisateurs et vous pourrez effectuer n'importe quelle action.
Gestion de vos messages mis en quarantaine
L'interface Web de mise en quarantaine du courriel vous permet de visualiser ce qui a été mis en quarantaine. Si
vous avez un accès délégué ou même un accès administrateur, vous verrez également d'autres messages mis en
quarantaine.
Vous pouvez modifier le nombre d'entrées par page (taille de la page) dans le coin inférieur gauche de la fenêtre.
S'il y a trop de messages, utilisez la fonction Rechercher dans la barre supérieure pour rechercher un courriel en
particulier ou pour filtrer le contenu par Objet, par Expéditeur ou par Destinataire (Destinataire est uniquement
disponible pour les utilisateurs avec accès délégué ou pour les administrateurs). De plus, vous pouvez utiliser les
163
cases à cocher pour afficher uniquement les messages d'un certain type (pourriel, logiciel malveillant, règle,
hameçonnage et les messages mystifiés).
Pour libérer (livrer) un message qui a été mis en quarantaine à la suite d'un faux positif pendant la classification,
utilisez les boutons radio sur la droite et sélectionnez Libérer. Pour supprimer un message, sélectionnez l'action
Supprimer.
Vous pouvez sélectionner plusieurs messages avec l'action appropriée en même temps. Une fois votre sélection
terminée, cliquez sur Envoyer.
Les messages qui doivent être libérés sont ensuite remis à votre boîte de courriels ou à la boîte de courriels du
destinataire d'origine si vous avez un accès délégué et si vous libérez des messages pour d'autres utilisateurs. Les
messages qui doivent être supprimés sont définitivement supprimés de la quarantaine.
Les deux actions, Libérer et Supprimer, sont irréversibles une fois que vous cliquez sur Envoyer.
L'affichage est actualisé automatiquement lorsque vous cliquez sur Envoyer, mais vous pouvez actualiser
l'affichage manuellement en utilisant le bouton d'actualisation de votre navigateur Web ou en appuyant sur la
touche F5 de votre clavier.
Seuls les pourriels et les messages mystifiés par l'expéditeur peuvent être libérés. Il n'est pas possible de
libérer des logiciels malveillants, des messages d'hameçonnage et des messages de type « règle ». Si vous
devez libérer un tel message, demandez de l'aide à votre administrateur.
Vous n'avez pas besoin de supprimer régulièrement les messages mis en quarantaine; ils sont supprimés
automatiquement après une période spécifiée par l'administrateur.
Vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement de l'interface Web
de la Quarantaine de courriel. Sinon, cliquez sur Atteindre pour faire basculer la vue de la quarantaine vers
l'écran précédent.
Boîte de courriels de mise en quarantaine et
quarantaine Microsoft Exchange
Si vous décidez de ne pas utiliser la Quarantaine locale, deux options s'offrent à vous : le Courriel de quarantaine
ou la Quarantaine MS Exchange. Peu importe l'option choisie, vous devez créer un utilisateur dédié avec une
adresse de courriel (par exemple quarantaine_courriel@entreprise.com) qui sera ensuite utilisée pour stocker vos
courriels mis en quarantaine. À l'aide de cet utilisateur et de cette adresse de courriel, vous pourrez aussi voir et
gérer les éléments dans la quarantaine à partir du gestionnaire de quarantaine de courriel. Vous devez fournir les
détails de compte de cet utilisateur dans la section paramètres du gestionnaire de quarantaine.
L'avantage d'utiliser la boîte de courriels de quarantaine ou la quarantaine Microsoft Exchange par rapport
à la quarantaine locale est le suivant : les éléments de la boîte de courriels de quarantaine sont gérés à
partir d'un endroit, sans égard au nombre de serveurs ayant un rôle Hub Transport Server au sein de
l’infrastructure. Contrairement à la quarantaine locale, la mise en quarantaine des boîtes de courriels ou la
quarantaine MS Exchange, les pourriels et les courriels mis en quarantaine sont stockés dans les bases de
données de boîtes aux lettres Exchange. Toute personne ayant accès à la boîte de courriels de quarantaine
peut gérer les messages mis en quarantaine.
Lorsque vous comparez la boîte de courriels de quarantaine et la Quarantaine MS Exchange, les deux options
164
utilisent une boîte de courriels dédiée comme mécanisme sous-jacent pour stocker les messages mis en
quarantaine, mais diffèrent légèrement dans la façon dont les messages sont distribués. Courriel de quarantaine
et quarantaine de MS Exchange :
Boîte de courriel de mise en quarantaine
ESET Mail Security crée un courriel enveloppeur séparé contenant des informations supplémentaires et les
courriels d'origine sous forme de pièce jointe, puis les envoie à la boîte de courriels.
Vous devez spécifier une adresse pour les messages en quarantaine (par exemple
quarantaine_principale@entreprise.com).
Nous ne recommandons pas d'utiliser le compte Administrateur comme boîte de courriels de quarantaine.
Quarantaine de MS Exchange
Microsoft Exchange Server est responsable de la remise du courriel à la boîte de courriels elle-même. La boîte de
courriels doit être définie comme une quarantaine au niveau de l'organisation dans Active Directory (par une
commande PowerShell répertoriée ci-dessous).
Par défaut, la quarantaine interne n'est pas activée dans Microsoft Exchange Server. À moins que vous
l'ayez activé, ouvrez Exchange Management Shell et tapez la commande suivante (remplacez
Name@domain.com par une adresse réelle de votre boîte aux lettres dédiée) : SetContentFilterConfig -QuarantineMailbox name@domain.com
ESET Mail Security utilise le système de quarantaine de Microsoft Exchange (cela s'applique à Microsoft Exchange
Server 2010 et aux versions ultérieures). Dans ce cas, le mécanisme interne d'Exchange sera utilisé pour stocker
les messages potentiellement infectés et les POURRIELS.
Paramètres du gestionnaire de quarantaine
Adresse hôte
Elle apparaîtra automatiquement si votre Exchange Server avec un rôle Client Access Server (CAS) est présent
localement. Si le rôle CAS n'est pas sur le même serveur sur lequel ESET Mail Security a été installé, mais qu'il peut
être trouvé dans l'AD, il est également possible que l'adresse de l'hôte apparaisse automatiquement. Si elle
n'apparaît pas, vous pouvez tapez le nom d'hôte manuellement. La détection automatique ne fonctionnera pas
sur le rôle Edge Transport Server. l'adresse IP n'est pas prise en charge. Vous devez utiliser le nom d'hôte du
serveur CAS.
Nom d'utilisateur
Le compte utilisateur de la quarantaine dédié que vous avez créé pour le stockage des messages mis en
quarantaine (ou un compte qui a accès à cette boîte de courriels par l'entremise de la délégation d'accès). Sur le
rôle serveur de transport Edge qui ne fait pas partie du domaine, il est nécessaire d'utiliser l'adresse de courriel
complète (par exemple main_quarantine@company.com).
Mot de passe
Tapez le mot de passe de votre compte utilisateur de la quarantaine.
165
Utiliser le protocole SSL
Cette option doit être activée si la configuration d'EWS (Exchange Web Services) est réglée à Exiger le protocole
SSL dans IIS. Si le protocole SSL est activé, il faut importer le certificat Exchange Server dans le système à l'aide de
ESET Mail Security (au cas où les rôles serveur Exchange se trouvent sur différents serveurs). Les paramètres
d'EWS peuvent être consultés dans IIS, à partir de Sites/Default web site/EWS/SSL Settings.
Désactivez uniquement Utiliser le protocole SSL lorsque les services Web Exchange (EWS) sont configurés
dans IIS pour ne pas exiger SSL.
Ignorer les erreurs de certificat de serveur
Ignore les états suivants : self-signed, wrong name in certificate, wrong usage, expired.
Serveur mandataire
Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et Exchange Server où
ESET Mail Security est installé, spécifiez les paramètres de votre serveur mandataire. Cette exigence s'explique
par le fait que ESET Mail Security se connecte à EWS (Exchange Web Services) API par l'entremise du protocole
HTTP/HTTPS. Sinon, la boîte de courriels de mise en quarantaine et la quarantaine Microsoft Exchange ne
fonctionneront pas.
Serveur mandataire
Entrez l'adresse IP ou le nom du serveur mandataire que vous utilisez.
Port
Entrez le numéro de port du serveur mandataire.
Nom d'utilisateur, Mot de passe
Entrez l'authentifiant dans le cas où votre serveur mandataire exige une authentification.
Détails du compte du gestionnaire de la quarantaine
Cette fenêtre de dialogue s'affiche si vous n'avez pas spécifié les détails du compte (un nom d'utilisateur et un
mot de passe) pour le gestionnaire de quarantaine. Spécifiez l'authentifiant d'un utilisateur qui a accès à la Boîte
de courriel de la Quarantaine et cliquez sur OK. Vous pouvez également appuyer sur la touche F5 pour accéder
aux Paramètres avancés. Allez ensuite à Serveur > Quarantaine de courriel > Paramètres du gestionnaire de
quarantaine.
Tapez le Nom d'utilisateur et le Mot de passe de votre boîte de courriel de mise en quarantaine.
166
Cochez la case à côté de Enregistrer les informations relatives au compte pour enregistrer les paramètres du
compte en prévision des prochains accès au gestionnaire de la Quarantaine.
Signature DKIM
La signature DKIM (DomainKeys Identified Mail) est une méthode permettant de sécuriser les courriels sortants et
de faciliter leur vérification. Cette méthode permet aux serveurs de messagerie destinataires de distinguer avec
précision les messages authentiques des pourriels.
L’authentification DKIM fonctionne de la manière suivante :
• Les en-têtes des courriels sortants sont signés avec une clé privée DKIM.
• Le serveur de messagerie destinataire vérifie l'enregistrement DNS DKIM qui contient une clé publique.
• Si la signature avec la clé privée dans les en-têtes de message correspond à la clé publique
d’enregistrement DNS, le courriel est considéré comme authentique et est remis à son ou ses destinataires.
• Si la signature et la clé publique ne correspondent pas, ce qui arrive au courriel dépend de la configuration
du serveur de messagerie de réception (il peut avoir des règles spécifiques en place, par exemple ESET Mail
Security utilise la condition de règle de résultat DKIM à cette fin)
Pour utiliser la fonctionnalité de signature DKIM de ESET Mail Security, veillez à ce que l’enregistrement DNS
DKIM soit configuré pour votre domaine. Pour plus d’informations sur la création d’un enregistrement DKIM,
consultez l’article Qu'est-ce que l'enregistrement DKIM et comment le créer?. L'article comprennent également
un exemple d’enregistrement DKIM. Vous pouvez également essayer d’utiliser un générateur de DKIM en ligne
pour générer des clés publiques et privées DKIM.
Nous vous suggérons ensuite d'utiliser le Vérificateur d’enregistrement DKIM ou MXToolBox pour vérifier que la
clé publique DKIM est présente et que la syntaxe est correctement implémentée.
Configurez la signature DKIM dans ESET Mail Security en spécifiant les domaines DKIM et une liste d’en-têtes de
courriel à signer. La signature DKIM est ajoutée aux en-têtes de message sélectionnés. Chaque signature DKIM
contient des informations que les serveurs de messagerie peuvent utiliser pour vérifier l’authenticité d’un courriel
lorsqu’ils le transmettent à la destination finale. Si vous utilisez plusieurs domaines pour les messages sortants,
vous pouvez configurer la signature DKIM pour chaque domaine séparément.
167
Activez la signature DKIM sous Serveur > Intégration dans la Configuration avancée. Pour la configuration
de la priorité de l’agent, nous vous recommandons de conserver la priorité de l’agent ESET DKIM à la
dernière place, en bas, pour vous assurer que les en-têtes sont signés en dernier lieu après les
modifications apportées aux en-têtes par les agents précédents.
Domaines DKIM
Définissez des paramètres pour chaque domaine pour la signature DKIM. Cliquez sur Modifier pour ouvrir la
fenêtre de domaines DKIM. Cliquez sur Ajouter pour créer de nouveaux paramètres DKIM ou modifier ceux qui
existent déjà.
• Domaine : Saisissez le domaine (par exemple domainname.local)
• Sélecteur : Spécifiez un sélecteur pour un attribut de signature DKIM; il est alors enregistré dans le champ
d’en-tête DKIM-Signature
• Certificat client : Cliquez sur Sélectionner et choisissez le certificat client utilisé pour la signature DKIM.
Liste des en-têtes de courriel à signer
Cliquez sur Modifier pour ouvrir la fenêtre Liste des en-têtes de courriel à signer, cliquez sur Ajouter pour ajouter
de nouveaux en-têtes ou sur Modifier pour modifier les en-têtes existants dans la liste.
168
Test antivirus
Pour vérifier que la protection en temps réel fonctionne et détecte les virus, utilisez un fichier de test de
eicar.com. Il s’agit d’un fichier inoffensif détectable par tous les programmes antivirus créés par l’EICAR (European
Institute for Computer Antivirus Research).
Pour tester la fonctionnalité de votre antivirus, créez un fichier texte contenant la chaîne suivante :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Pour obtenir plus d’informations et pour télécharger des fichiers de test, visitez
https://www.eicar.org/download-anti-malware-testfile/
Test antipourriel
À l’aide d’une chaîne de test GTUBE (Generic Test for Unsolicited Bulk Email), vous pouvez vérifier que la
fonctionnalité antipourriel de ESET Mail Security détecte les pourriels entrants.
Pour tester la fonctionnalité antipourriel, envoyez un courriel avec la chaîne de 68 octets suivante dans le corps
du message :
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
169
Utilisez la chaîne telle quelle (une ligne, sans espace ni saut de ligne). Vous pouvez télécharger un courriel
approprié au format RFC-822.
Test antihameçonnage
Pour tester la fonctionnalité antihameçonnage, envoyez un courriel avec le lien suivant (URL) dans le corps ou
l'objet du message :
https://www.amtso.org/check-desktop-phishing-page/
Pour voir l’activité de protection du courriel contre le hameçonnage, accédez à Fichiers journaux > Journal de
protection du serveur de messagerie. Il contiendra des informations sur les courriels et les liens d’hameçonnage
trouvés.
Paramètres généraux
Vous pouvez configurer les paramètres généraux et les options selon vos besoins. Voici les catégories présentées
dans le menu de gauche :
Computer
Permet d'activer ou de désactiver la détection d'applications potentiellement indésirables, dangereuses et
suspectes, ainsi que la protection Anti-furtif. Spécifiez les exclusions de processus ou de fichiers et de dossiers.
Configurez la Protection en temps réel du système de fichiers, les paramètres ThreatSense, la protection basée
sur le nuage (ESET LiveGrid®), les analyses à la recherche de logiciels malveillants (analyse de l'ordinateur à la
demande et autres options d'analyse) ainsi que l'analyse Hyper-V et HIPS.
Mettre à jour
Configurez les options de mise à jour telles que profils, âge du moteur de détection, type de mise à jour, serveur
de mise à jour personnalisé, serveur de connexion/mandataire, miroir de mise à jour, accès aux fichiers de mise à
jour, serveur HTTP, etc.
Protection du réseau
Gérez la protection du réseau : réseaux connus, zones, protection contre les attaques réseau (IDS), protection
contre les attaques par force brute et protection contre les botnets.
Web et messagerie
Permet de configurer le filtrage des protocoles et les exclusions (applications et adresses IP exclues), les options
de filtrage des protocoles SSL/TLS, la protection du client de messagerie (intégration, protocoles de courriels,
alertes et notifications), la protection de l'accès Web (protocoles Web HTTP/HTTPS et gestion des adresses URL)
ainsi que la protection anti-hameçonnage du client de messagerie.
Contrôle de périphériques
Permet d'intégrer et de configurer les règles de contrôle de périphériques ainsi que les groupes.
Configuration d'outils
170
Permet de personnaliser des outils tels que ESET CMD, ESET RMM, le fournisseur WMI, les cibles d'analyse ESET
PROTECT, les notifications Windows Update, les fichiers journaux, le serveur mandataire, les notifications par
courriels, les diagnostics, les grappes, etc.
Notifications
Configurez les notifications à afficher sur le bureau ou à envoyer par courriel pour les états de l'application, les
notifications sur le bureau, les alertes interactives et le transfert.
Interface utilisateur
Configurez la fenêtre principale du programme, les informations de licence, la protection par mot de passe, la
politique d’exécution de eShell et plus encore.
Computer
Le moteur de détection protège contre les attaques malveillantes du système en analysant les fichiers, les
courriels et les communications réseau. Si un objet considéré comme logiciel malveillant est détecté, des mesures
de correction sont prises. Le moteur de détection peut l'éliminer en le bloquant d'abord, puis en prenant des
mesures telles que le nettoyage, la suppression ou la mise en quarantaine.
Protection en temps réel et apprentissage automatique
L'apprentissage machine avancé fait désormais partie du moteur de détection en tant que couche de protection
avancée, ce qui améliore la détection basée sur l'apprentissage machine. Pour en savoir plus sur ce type de
protection, consultez le glossaire . Vous pouvez configurer les niveaux de signalement et de protection des
catégories suivantes :
Logiciel malveillant
Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers existants sur votre
ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est une expression plus
précise. La détection des logiciels malveillants est effectuée par le module du moteur de détection combiné au
composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'intention n'est pas aussi malveillante, mais qui
peut installer des logiciels indésirables supplémentaires, modifier le comportement de l'appareil numérique,
effectuer des activités non approuvées ou attendues par l'utilisateur ou avoir d'autres objectifs inavoués.
Cette catégorie comprend : les logiciels d'affichage publicitaire, les enveloppeurs de téléchargement, les
différentes barres d'outils de navigateur, les logiciels avec un comportement trompeur, les logiciels liés, les
logiciels de suivi d'activité système, etc. Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement suspectes
Il s'agit d'un logiciel compressé avec des enveloppeur ou des protecteurs, utilisés fréquemment pour dissuader
l'ingénierie inverse ou pour obscurcir le contenu de l'exécutable (par exemple pour masquer la présence de
logiciels malveillants), à l'aide de méthodes de compression ou de chiffrement propriétaires.
Cette catégorie comprend : toutes les applications inconnues qui sont compressées avec un enveloppeur ou un
171
protecteur utilisé fréquemment pour compresser des logiciels malveillants.
Applications potentiellement dangereuses
Cette classification désigne des logiciels commerciaux légitimes qui pourraient être utilisés à des fins
malveillantes. Une application potentiellement dangereuse fait référence à un logiciel commercial légitime qui
peut être utilisé abusivement à des fins malveillantes.
Cette catégorie comprend les outils de craquage, les générateurs de clés de licence, les outils de piratage, les
outils d'accès ou de contrôle à distance, les applications de perçage de mots de passe et les enregistreurs de
frappe (programmes qui enregistrent chaque frappe effectuée par un utilisateur). Cette option est désactivée par
défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Lisez ce qui suit avant de modifier un seuil (ou niveau) pour la catégorie Signalement ou Protection :
Signalement
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine. Vous pouvez
définir le seuil de signalement pour mieux l'adapter à votre environnement et à vos besoins. Il n'existe pas de
configuration correcte unique. Par conséquent, nous vous recommandons de surveiller le comportement dans
votre environnement et de décider si un paramètre de signalement différent est plus approprié.
Le signalement ne prend pas de mesures à l'égard des objets, il transmet les informations la couche de protection
respective, et celle-ci prend des mesures en conséquence.
Agressif
Le signalement est configuré pour une sensibilité maximale. Davantage de détections sont
signalées. Si le paramètre Agressif peut sembler le plus sûr, il peut souvent être trop sensible, ce
qui peut même être contre-productif.
Le paramètre agressif peut faussement identifier des objets comme malveillants : des
mesures seront prises avec de tels objets (selon les paramètres de protection).
Équilibré
Ce paramètre est optimisé pour équilibrer les performances et la précision des taux de détection et
du nombre d'objets faux positifs.
Prudent
Rapports configurés pour réduire au minimum les objets faux positifs tout en maintenant un niveau
de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et
correspond au comportement du logiciel malveillant.
Désactivée Le signalement n'est pas actif. Aucune détection n'a été trouvée, signalée ou nettoyée.
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le paramètre
Off (Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Protection
172
Lorsqu'un objet est signalé sur la base de la configuration ci-dessus et des résultats de l'apprentissage machine, il
est bloqué et une action est entreprise (nettoyée, supprimée ou déplacée vers la quarantaine).
Agressif
Les détections de niveau agressif (ou inférieur) signalées sont bloquées et la correction
automatique (c'est-à-dire le nettoyage) est lancée.
Équilibré
Les détections de niveau équilibré (ou inférieur) signalées sont bloquées et la correction
automatique (c'est-à-dire le nettoyage) est lancée.
Prudent
Les détections de niveau prudent signalées sont bloquées et la correction automatique (c'est-à-dire
le nettoyage) est lancée.
Désactivée Le signalement n'est pas actif, aucune détection n'a été trouvée, signalée ou nettoyée.
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le paramètre
Off (Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Par défaut, les paramètres de protection d'apprentissage machine ci-dessus s'appliquent également à
l'analyse de l'ordinateur à la demande. Si nécessaire, vous pouvez configurer séparément les paramètres
de protection à la demande et d'apprentissage machine. Cliquez sur l'icône du commutateur pour
désactiver Utiliser les paramètres de protection en temps réel et procéder à la configuration.
Détection par l'apprentissage machine
Le moteur de détection protège contre les attaques malveillantes du système en analysant les fichiers, les
courriels et les communications réseau. Si un objet considéré comme logiciel malveillant est détecté, des mesures
de correction sont prises. Le moteur de détection peut l'éliminer en le bloquant d'abord, puis en prenant des
mesures telles que le nettoyage, la suppression ou la mise en quarantaine.
Protection en temps réel et apprentissage automatique
L'apprentissage machine avancé fait désormais partie du moteur de détection en tant que couche de protection
avancée, ce qui améliore la détection basée sur l'apprentissage machine. Pour en savoir plus sur ce type de
protection, consultez le glossaire . Vous pouvez configurer les niveaux de signalement et de protection des
catégories suivantes :
Logiciel malveillant
Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers existants sur votre
ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est une expression plus
précise. La détection des logiciels malveillants est effectuée par le module du moteur de détection combiné au
composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'intention n'est pas aussi malveillante, mais qui
peut installer des logiciels indésirables supplémentaires, modifier le comportement de l'appareil numérique,
effectuer des activités non approuvées ou attendues par l'utilisateur ou avoir d'autres objectifs inavoués.
Cette catégorie comprend : les logiciels d'affichage publicitaire, les enveloppeurs de téléchargement, les
différentes barres d'outils de navigateur, les logiciels avec un comportement trompeur, les logiciels liés, les
logiciels de suivi d'activité système, etc. Pour en savoir plus sur ces types d'applications, consultez le glossaire .
173
Applications potentiellement suspectes
Il s'agit d'un logiciel compressé avec des enveloppeur ou des protecteurs, utilisés fréquemment pour dissuader
l'ingénierie inverse ou pour obscurcir le contenu de l'exécutable (par exemple pour masquer la présence de
logiciels malveillants), à l'aide de méthodes de compression ou de chiffrement propriétaires.
Cette catégorie comprend : toutes les applications inconnues qui sont compressées avec un enveloppeur ou un
protecteur utilisé fréquemment pour compresser des logiciels malveillants.
Applications potentiellement dangereuses
Cette classification désigne des logiciels commerciaux légitimes qui pourraient être utilisés à des fins
malveillantes. Une application potentiellement dangereuse fait référence à un logiciel commercial légitime qui
peut être utilisé abusivement à des fins malveillantes.
Cette catégorie comprend les outils de craquage, les générateurs de clés de licence, les outils de piratage, les
outils d'accès ou de contrôle à distance, les applications de perçage de mots de passe et les enregistreurs de
frappe (programmes qui enregistrent chaque frappe effectuée par un utilisateur). Cette option est désactivée par
défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Lisez ce qui suit avant de modifier un seuil (ou niveau) pour la catégorie Signalement ou Protection :
Signalement
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine. Vous pouvez
définir le seuil de signalement pour mieux l'adapter à votre environnement et à vos besoins. Il n'existe pas de
configuration correcte unique. Par conséquent, nous vous recommandons de surveiller le comportement dans
votre environnement et de décider si un paramètre de signalement différent est plus approprié.
Le signalement ne prend pas de mesures à l'égard des objets, il transmet les informations la couche de protection
respective, et celle-ci prend des mesures en conséquence.
Agressif
Le signalement est configuré pour une sensibilité maximale. Davantage de détections sont
signalées. Si le paramètre Agressif peut sembler le plus sûr, il peut souvent être trop sensible, ce
qui peut même être contre-productif.
Le paramètre agressif peut faussement identifier des objets comme malveillants : des
mesures seront prises avec de tels objets (selon les paramètres de protection).
Équilibré
Ce paramètre est optimisé pour équilibrer les performances et la précision des taux de détection et
du nombre d'objets faux positifs.
Prudent
Rapports configurés pour réduire au minimum les objets faux positifs tout en maintenant un niveau
de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et
correspond au comportement du logiciel malveillant.
Désactivée Le signalement n'est pas actif. Aucune détection n'a été trouvée, signalée ou nettoyée.
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le paramètre
Off (Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Protection du transport du courriel et de l'apprentissage automatique
174
Signalement
Effectué par le moteur de détection et le composant d'apprentissage machine. Le signalement n'entreprend
aucune action avec les objets (cela se fait par la couche de protection respective).
Protection
Configurez les paramètres dans Protection du transport du courriel pour affecter les mesures prises avec les
objets signalés. Vous pouvez également configurer une règle personnalisée :
Exemples d'installation de base :
Objectif: Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce jointe
protégée par mot de passe, endommagée ou chiffrée
Créer la règle suivante pour la protection du transport du courriel :
Condition
Type : Résultat de l'analyse antivirus
Opération : est
Paramètre : Infecté - nettoyage non effectué
Action
Type : Message de quarantaine
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Configurez la protection par apprentissage machine à l'aide de eShell. Le nom du contexte dans eShell est MLP.
Ouvrez eShell en mode interactif et accédez à MLP :
server av transport mlp
Voir les paramètres actuels de signalement des applications suspectes :
get suspicious-reporting
Si vous souhaitez des signalements moins stricts, réglez le paramètre sur Prudent :
set suspicious-reporting cautious
Protection de la base de données des boîtes aux lettres et par apprentissage machine
175
Signalement
Effectué par le moteur de détection et le composant d'apprentissage machine. Le signalement n'entreprend
aucune action avec les objets (cela se fait par la couche de protection respective).
Protection
Configurez les paramètres dans la section Protection de la base de données de la boîte aux lettres pour affecter
l'action à entreprendre avec les objets signalés.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Configurez la protection par apprentissage machine à l'aide de eShell. Le nom du contexte dans eShell est MLP.
Ouvrez eShell en mode interactif et accédez à MLP :
server av database mlp
Voir les paramètres actuels de signalement des applications suspectes :
get suspicious-reporting
Si vous souhaitez des signalements moins stricts, réglez le paramètre sur Prudent :
set suspicious-reporting cautious
Analyse à la demande de la base de données des boîtes aux lettres et protection par apprentissage machine
Signalement
Effectué par le moteur de détection et le composant d'apprentissage machine. Le signalement n'entreprend
aucune action avec les objets (cela se fait par la couche de protection respective).
Protection
Configurez les paramètres dans la section Analyse de la base de données de boîtes aux lettres à la demande pour
affecter l'action à entreprendre avec les objets signalés.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Configurez la protection par apprentissage machine à l'aide de eShell. Le nom du contexte dans eShell est MLP.
Ouvrez eShell en mode interactif et accédez à MLP :
server av on-demand mlp
Voir les paramètres actuels de signalement des applications suspectes :
get suspicious-reporting
Si vous souhaitez des signalements moins stricts, réglez le paramètre sur Prudent :
set suspicious-reporting cautious
Exclusions
Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces
s'applique à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela est absolument
nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de
données volumineuses risquent de ralentir le serveur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le
logiciel et l'analyse (par exemple, le logiciel de sauvegarde).
Ne pas les confondre avec les extensions exclues, les exclusions de processus ou les filtres d'exclusion.
176
Une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers
en temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères
d'exclusion de l'analyse.
Sélectionnez le type d'exclusion et cliquez sur Modifier pour en ajouter un nouveau ou modifier un existant :
• Exclusions de performance : permettent d'exclure des fichiers et des dossiers de l'analyse.
• Exclusions de détection : exclure les objets de l'analyse en utilisant des critères spécifiques (chemin,
hachage de fichier ou nom de détection).
Exclusions de performance
Cette fonctionnalité vous permet d'exclure des fichiers et des dossiers de l'analyse. Les exclusions de
performances sont utiles pour exclure l'analyse au niveau des fichiers des applications critiques ou lorsque
l'analyse provoque un comportement anormal du système ou diminue les performances.
Chemin
Exclut un chemin spécifique (fichier ou répertoire) pour cet ordinateur. N'utilisez pas de caractères génériques astérisque (*) au milieu d'un chemin. Pour plus d'informations, consultez l'article suivant de la base de
connaissances .
Pour exclure le contenu du dossier, n’oubliez pas d’ajouter un astérisque (*) à la fin du chemin (C:\Tools\*).
(C:\Tools\*) ne sera pas exclus, car du point de vue de l’analyseur, Tools peut également être un nom de
fichier.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
Exclusions de chemin à l'aide d'un astérisque :
C:\Tools\* - le chemin doit se terminer par la barre oblique inverse (\) et l'astérisque (*) pour indiquer qu'il
s'agit d'un dossier et que tout le contenu du dossier (fichiers et sous-dossiers) sera exclu
C:\Tools\*.* - le même comportement que C:\Tools\*, ce qui signifie que cela fonctionne récursivement
C:\Tools\*.dat : exclura les fichiers dat qui se trouvent dans le dossier Tools
C:\Tools\sg.dat : exclura ce fichier en particulier situé dans le chemin exact
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le masque *.*. Pour
exclure uniquement les fichiers doc, utilisez le masque *.doc.
Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères varient) et que
vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
177
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des exclusions
d'analyse.
Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin
%PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
Si vous souhaitez exclure tous les fichiers d'un sous-dossier %HOMEDRIVE%, tapez le chemin
%HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées dans le format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (telles que %TEMP% ou %USERPROFILE%) ou les variables
d'environnement (telles que %PATH%) ne sont pas prises en charge.
Exclusions de détection
Il s'agit d'une autre méthode pour exclure des objets de l'analyse, en utilisant le nom de détection, le chemin ou
son hachage. Les exclusions de détection n'excluent pas les fichiers et les dossiers de l'analyse (comme les
exclusions de performances). Les exclusions de détection excluent les objets uniquement lorsqu'ils sont détectés
par le moteur de détection et qu'une règle appropriée est présente dans la liste d'exclusion.
La façon la plus simple de créer une exclusion basée sur la détection consiste à utiliser une détection existante à
partir de Fichiers journaux > Détections. Cliquez avec le bouton droit de la souris sur une entrée du journal
(détection) et cliquez sur Créer une exclusion. Cela ouvrira l'assistant d'exclusion avec des critères prédéfinis.
Pour créer manuellement une exclusion de détection, cliquez sur Modifier > Ajouter (ou Modifier lors de la
modification d'un fichier existant) et spécifiez un ou plusieurs des critères suivants (il est possible de les
combiner) :
Chemin
Exclut un chemin spécifique (fichier ou répertoire). Vous pouvez rechercher un emplacement ou un fichier
spécifique, ou saisir la chaîne manuellement. N'utilisez pas de caractères génériques - astérisque (*) au milieu
d'un chemin. Pour plus d'informations, consultez l'article suivant de la base de connaissances .
Pour exclure le contenu du dossier, n’oubliez pas d’ajouter un astérisque (*) à la fin du chemin (C:\Tools\*).
(C:\Tools\*) ne sera pas exclus, car du point de vue de l’analyseur, Tools peut également être un nom de
fichier.
Hachage
Permet d'exclure un fichier selon un hachage précis(SHA1), peu importe le type, l'emplacement, le nom ou
l'extension du fichier.
178
Nom de la détection
Saisissez un nom de détection (menace) valide. La création d'une exclusion basée uniquement sur le nom de
détection peut poser un risque pour la sécurité. Nous vous recommandons de combiner le nom de détection avec
le chemin. Ce critère d'exclusion ne peut être utilisé que pour certains types de détections.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
ESET PROTECT comprend la gestion des exclusions de détection; vous pouvez créer des exclusions de détection et
les appliquer à plusieurs ordinateurs ou groupes.
Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère
ou plus.
Exclusions de chemin à l'aide d'un astérisque :
C:\Tools\* - le chemin doit se terminer par la barre oblique inverse (\) et l'astérisque (*) pour indiquer qu'il
s'agit d'un dossier et que tout le contenu du dossier (fichiers et sous-dossiers) sera exclu
C:\Tools\*.* - le même comportement que C:\Tools\*, ce qui signifie que cela fonctionne récursivement
C:\Tools\*.dat : exclura les fichiers dat qui se trouvent dans le dossier Tools
C:\Tools\sg.dat : exclura ce fichier en particulier situé dans le chemin exact
Si vous souhaitez exclure une menace, entrez un nom de détection valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le masque *.*. Pour
exclure uniquement les fichiers doc, utilisez le masque *.doc
Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères varient) et que
vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
179
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des exclusions
d'analyse.
Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin
%PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
Si vous souhaitez exclure tous les fichiers d'un sous-dossier %HOMEDRIVE%, tapez le chemin
%HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées dans le format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (telles que %TEMP% ou %USERPROFILE%) ou les variables
d'environnement (telles que %PATH%) ne sont pas prises en charge.
Créer un assistant d'exclusion
L'exclusion recommandée est présélectionnée en fonction du type de détection, mais vous pouvez préciser
davantage les critères d'exclusion pour les détections. Cliquez sur Modifier les critères :
• Fichiers exacts : exclure chaque fichier selon son hachage SHA-1.
• Détection : précisez le nom de la détection pour exclure chaque fichier qui contient cette détection.
• Chemin et Détection : précisez le nom et le chemin d'accès de la détection (y compris le nom du fichier)
pour exclure chaque fichier dont la détection est située à l'endroit indiqué.
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
Options avancées
Technologie antifurtif
Système sophistiqué qui détecte les programmes dangereux, tels que les rootkits, qui peuvent se cacher et ne
pas être détéctés par le système d’exploitation. Ces types de programmes sont généralement indétectables à
l’aide de techniques standard.
AMSI
Permet à Microsoft Antimalware Scan Interface (AMSI) d'analyser les scripts Powershell exécutés par
Windows script Host.
180
Exclusions automatiques
Les développeurs d'applications serveur et de systèmes d'exploitation recommandent d'exclure de l'analyse pour
la recherche de logiciels malveillants les ensembles de fichiers et de dossiers de travail critiques de bon nombre
de leurs produits. Les analyses à la recherche de logiciels malveillants peuvent avoir des répercussions négatives
sur la performance d'un serveur, ce qui peut générer des conflits et même empêcher certaines applications d'être
exécutées sur le serveur. Les exclusions aident à minimiser le risque de conflits potentiels et augmentent la
performance globale du serveur sur lequel s'exécute une solution de protection contre les logiciels malveillants.
Consultez la liste complète des fichiers exclus de la recherche de produits du serveur ESET.
La fonctionnalité d’exclusion automatique est activée lorsque vous activez ESET Mail Security avec une licence
valide et effectuez la mise à jour initiale afin d’inclure les derniers modules.
Les exclusions automatiques pour les fichiers de base de données Microsoft SQL Server fonctionnent pour
l’emplacement par défaut. Si vous avez des bases de données Microsoft SQL Server à des emplacements
différents (autre que l’emplacement par défaut), vous avez deux possibilités. Ajoutez manuellement les
exclusions ou excluez automatiquement les fichiers de base de données. Pour l’exclusion automatique,
ESET Mail Security requiert un accès en lecture à l’instance Microsoft SQL Server pour rechercher les
chemins d’accès utilisés pour les fichiers de base de données. Si ESET Mail Security affiche un message
d’erreur sur des droits insuffisants, résolvez le problème en accordant au compte NO_AUTHORITY\SYSTEM
l’autorisation Afficher n’importe quelle définition à chaque instance Microsoft SQL Server que vous
exécutez sur le serveur avec ESET Mail Security.
Pour plus d’informations, consultez l’article de la base de connaissances sur l’ajout d’une autorisation pour
obtenir des emplacements de données de base de données afin de générer des exclusions automatiques
pour Microsoft SQL Server.
ESET Mail Security identifie les applications serveur critiques et les fichiers du système d'exploitation du serveur
et les ajoute automatiquement à la liste d'Exclusions. Toutes les exclusions automatiques sont activées par
défaut. Vous pouvez désactiver/activer les exclusions d'applications de chaque serveur en utilisant la barre de
défilement pour obtenir les résultats suivants :
• Lorsque ce paramètre est activé, tous les fichiers et les dossiers critiques sont ajoutés à la liste des fichiers
exclus de l'analyse. Chaque fois que le serveur est redémarré, le système effectue une vérification
automatique des exclusions et met à jour la liste s'il y a eu des changements dans le système ou les
applications (par exemple, lorsqu'une nouvelle application serveur a été installée). Ce paramètre garantit
que les exclusions automatiques recommandées sont toujours appliquées.
• Lorsqu'il est désactivé, les fichiers et les dossiers automatiquement exclus sont retirés de la liste. Les
exclusions définies par l'utilisateur et saisies manuellement ne seront pas affectées.
Les exclusions automatiques pour les serveurs Exchange sont basées sur les recommandations de Microsoft. ESET
Mail Security n'applique que les exclusions de répertoire/dossier (les exclusions de processus et les exclusions
d'extension de nom de fichier ne sont pas appliquées). Consultez les articles de la Base de connaissances
Microsoft suivants pour plus de détails :
Mise à jour sur les exclusions antivirus d’Exchange Server
Recommandations d'analyse de virus pour les ordinateurs d'entreprise qui exécutent actuellement des versions
de Windows qui sont prises en charge
Analyse antivirus au niveau du fichier sur Exchange 2010
181
Logiciel antivirus dans le système d'exploitation sur les Exchange Servers (Exchange 2013)
Exécution du logiciel antivirus Windows sur les serveurs Exchange 2016
Il existe également des exclusions de fichiers de base de données Exchange pour les bases de données
active et passive du DAG (groupe de disponibilité de la base de données) hébergées sur le serveur local. La
liste des exclusions automatiques est mise à jour toutes les 30 minutes. Si un nouveau fichier de base de
données Exchange est créé, il est automatiquement exclu, quel que soit son état, qu'il soit actif ou passif.
Pour identifier et générer des exclusions automatiques, ESET Mail Security utilise une application dédiée
eAutoExclusions.exe, située dans le dossier d'installation. Aucune action de votre part n'est nécessaire, mais vous
pouvez utiliser la ligne de commande pour répertorier les applications serveur détectées sur votre système en
exécutant eAutoExclusions.exe -servers. Pour afficher la syntaxe complète, utilisez eAutoExclusions.exe -?.
Une infiltration est détectée
Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les pages Web,
dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.).
Comportement normal
À titre d'exemple général de la façon dont les infiltrations sont traitées par ESET Mail Security, elles peuvent
notamment être détectées en utilisant :
• Protection en temps réel du système de fichier
• Protection de l'accès Web
• Protection du client de messagerie
• Analyse de l'ordinateur à la demande
Chacun de ces modules utilise le niveau de nettoyage standard et tentera de nettoyer le fichier et de le mettre en
Quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification,
dans le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de nettoyage et le comportement,
consultez la rubrique Nettoyage.
Nettoyage et suppression
Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner une option
dans une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement
disponibles. Sélectionner Aucune action n'est pas recommandé puisque cela ne nettoiera pas les fichiers infectés.
La seule exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur.
Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez
d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement
de code malveillant, il sera alors supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé
qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système).
Menaces multiples
182
Si aucun des fichiers infectés n'a été nettoyé pendant l'analyse de l'ordinateur (ou le Niveau de nettoyage a été
défini à Aucun nettoyage), une fenêtre d'alerte vous invitant à choisir des actions pour ces fichiers s'affichera.
Sélectionnez une action individuelle pour chaque menace dans la liste ou utilisez Sélectionner une action
applicable à toutes les menaces dans la liste et sélectionnez l'action à appliquer à toutes les menaces dans la
liste, puis cliquez sur Terminer.
Suppression de fichiers dans les archives
En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers
infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des
fichiers sains.
Soyez cependant prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si elle
contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
Protection en temps réel du système de fichiers
La protection en temps réel du système de fichiers contrôle tous les événements liés aux logiciels malveillants
dans le système. Elle analyse tous les fichiers à la recherche de programmes malveillants au moment de
l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur. Par défaut, la protection en temps
réel du système de fichier démarre au démarrage du système d'exploitation et assure une analyse ininterrompue.
Dans des cas particuliers (par exemple, s'il y a un conflit avec un autre analyseur en temps réel), la protection en
temps réel pourra être désactivée en désélectionnant Lancer automatiquement la protection en temps réel du
système de fichier dans la section Configuration avancée (F5) sous Protection en temps réel du système de
fichiers > L'essentiel.
ESET Mail Security est compatible avec les machines utilisant l’agent Azure File Sync avec la hiérarchisation du
nuage activée. ESET Mail Security reconnaît les fichiers avec l’attribut
FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS.
Supports à analyser
Par défaut, tous les types de support sont analysés pour y détecter la présence potentielle de menaces :
• Disques locaux - Contrôle tous les disques durs du système.
• Supports amovibles - Contrôle les CD/DVD, les périphériques de stockage USB, les périphériques
Bluetooth, etc.
• Lecteurs réseau - Analyse tous les disques mappés.
Nous vous recommandons de ne modifier les paramètres par défaut que dans des cas particuliers, par exemple
lorsque l'analyse de certains supports ralentit de manière significative les transferts de données.
Date de l'analyse
Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de
conserver ces paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre
ordinateur :
183
• Ouverture de fichier - Analyse lors de l'ouverture ou de l'accès aux fichiers.
• Création de fichier - Analyse lors de la création ou de la modification des fichiers.
• Exécution de fichier - Analyse lors de l'exécution des fichiers.
• Accès au support amovible : Analyse lors de l'accès au support amovible. Lorsqu'un support amovible
contenant un secteur de démarrage est inséré dans le périphérique, le secteur de démarrage est
immédiatement analysé. Cette option n'active pas l'analyse des fichiers de supports amovibles. L'analyse des
fichiers de supports amovibles se trouve dans Médias à analyser > Supports amovibles. Pour que l'accès au
secteur de démarrage des supports amovibles fonctionne correctement, conservez l'option Secteurs de
démarrage/UEFI activée dans les paramètres de ThreatSense.
Exclusions de processus
L'exclusion des processus vous permettent d'exclure des processus précis. Par exemple, les processus de solution
de sauvegarde : toutes les opérations fichier attribuées à des processus qui sont exclus sont ignorées et
considérées comme sûrs, ce qui réduit l'interférence avec le processus de sauvegarde.
paramètres ThreatSense
La protection en temps réel du système de fichier vérifie tous les types de support et est déclenchée par
différents événements comme l'accès à un fichier. La protection en temps réel du système de fichier peut être
configurée pour traiter différemment les fichiers nouvellement créés et les fichiers existants. Par exemple, vous
pouvez configurer la protection en temps réel du système de fichier afin qu'elle surveille plus attentivement les
fichiers nouvellement créés.
Pour assurer le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers ayant
déjà été analysés ne le seront pas à nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront cependant
immédiatement réanalysés après chaque mise à jour de la base de données du moteur de détection. Ce
comportement est contrôlé grâce à l'Optimisation intelligente. Si la fonction Optimisation intelligente est
désactivée, tous les fichiers seront analysés chaque fois que l'ordinateur y accédera.
Pour modifier ce paramètre, appuyez sur F5 pour ouvrir la fenêtre Configuration avancée, puis developpez
Computer > Protection en temps réel du système de fichiers. Cliquez sur les Paramètres dans ThreatSense >
Autre et sélectionnez ou désélectionnez l'option Activer l'optimisation intelligente.
Autres ThreatSense paramètres
Vous pouvez modifier les options détaillées des paramètres ThreatSense supplémentaires pour les fichiers
nouvellement créés et modifiés ou des paramètres supplémentaires ThreatSense pour les fichiers exécutés.
ThreatSenseparamètres
ThreatSense est une technologie composée de nombreuses méthodes de détection de menaces complexes. Cette
technologie proactive fournit également une protection durant les premières heures de propagation d'une
nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques
et de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur
d'analyse est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le
taux de détection. La technologie ThreatSense élimine également les rootkits.
184
Pour en savoir plus sur la vérification automatique des fichiers de démarrage, voir Analyse au démarrage.
Les options de configuration du moteur ThreatSense permettent également de préciser plusieurs paramètres
d'analyse :
• Les types de fichiers et extensions à analyser
• La combinaison de plusieurs méthodes de détection
• les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du moteur ThreatSense dans la
fenêtre de configuration avancée (F5) de tout module utilisant la technologie ThreatSense (voir ci-dessous).
Chaque scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être
configuré individuellement pour les modules de protection suivants :
• Protection du transport de messagerie
• Protection de la base de données de la boîte de courriel à la demande
• Protection de la base de données de messagerie
• Analyse Hyper-V
• Protection en temps réel du système de fichier
• Analyses de logiciels malveillants
• Analyse en état inactif
• Analyse au démarrage
• Protection des documents
• Protection du client de messagerie
• Protection de l'accès Web
ThreatSenseles paramètres sont hautement optimisés pour chaque module et leur modification peut avoir
d'importantes répercussions sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour
toujours analyser les logiciels de compression exécutables ou pour autoriser les heuristiques avancées dans la
protection en temps réel du système de fichier, vous pouvez diminuer les performances du système
(normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est recommandé de
laisser inchangés les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module
Analyse de l'ordinateur.
Objets à analyser
185
Cette section vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés à la recherche
d'infiltrations.
Mémoire vive
Analyse à la recherche des menaces qui s'attaquent à la mémoire vive du système.
Secteurs d'amorçage/UEFI
Analyse les secteurs d'amorçage pour détecter la présence de virus dans le MBR (enregistrement d'amorçage
maître). Dans le cas d'une machine virtuelle Hyper-V, son disque MBR est analysé en mode lecture seulement.
Base de données WMI
Analyse la base de données WMI complète. Elle recherche des références à des fichiers infectés ou des logiciels
malveillants intégrés en tant que données.
Registre système
Analyse le registre du système, toutes les clés et sous-clés, à la recherche de références à des fichiers infectés ou
à des logiciels malveillants intégrés dans des données.
Fichiers de courriel
Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives
Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA,
MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres.
Archives à extraction automatique
Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés (archiveurs) pour être
décompressés.
Fichiers exécutables compressés par un compresseur d'exécutables
Après l'exécution, les logiciels de compression exécutables (contrairement aux archiveurs standard) se
décompressent dans la mémoire. En plus des logiciels de compression statiques standard (UPX, yoda, ASPack,
FSG, etc.), l'analyseur est capable de reconnaitre plusieurs autres types de logiciels de compression grâce à
l'émulation de code.
Pour la protection de la base de données de la boite de courriels, les fichiers courriels en pièce jointe (par
exemple .eml files) seront analysés, peu importe le réglage sous Objets à analyser. Cela est dû au fait que
le serveur Exchange analyse les fichiers .eml avant de les envoyer pour analyse à ESET Mail Security. Le
module d'extension VSAPI reçoit les fichiers extraits de la pièce jointe .eml au lieu de recevoir le fichier
original .eml.
Options d'analyse
Sélectionnez les méthodes utilisées lors de l'analyse du système à la recherche d'infiltrations. Les options
suivantes sont disponibles :
Heuristique
La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Le principal
avantage de cette technologie est sa capacité à identifier des logiciels malveillants qui n'existaient pas ou
n'étaient pas inscrits dans le moteur de détection antérieur.
Heuristique avancée/Signatures DNA
La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la détection
des vers d'ordinateur et des chevaux de Troie, et écrit dans un langage de programmation de haut niveau.
L'utilisation de l'heuristique avancée augmente considérablement les capacités de détection de menaces des
produits ESET. Les signatures permettent de détecter et d'identifier les virus de façon fiable. Grâce au système de
mise à jour automatique, de nouvelles signatures peuvent être disponibles dans les quelques heures de la
découverte d'une menace. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles
connaissent (ou une version légèrement modifiée de ces virus).
Nettoyage
186
Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés.
Les modules de protection en temps réel et d’autres modules de protection ont les niveaux de correction (c’est-àdire de nettoyage) suivants.
Toujours corriger la détection
Essayez de corriger la détection tout en nettoyant les objets sans aucune intervention de l’utilisateur. Les fichiers
système sont une exception. Ces objets sont laissés à leur emplacement d’origine si la détection ne peut pas être
corrigée.
Corriger la détection si cela est sécuritaire, sinon, la garder
Essayez de corriger la détection tout en nettoyant les objets sans aucune intervention de l’utilisateur. Si une
détection ne peut pas être corrigée pour les fichiers système ou les archives (avec des fichiers propres et
infectés), l'objet signalé est conservé dans son emplacement d'origine.
Corriger la détection si cela est sécuritaire, sinon, poser la question
Essayez de corriger la détection tout en nettoyant les objets. Dans certains cas, si ESET Mail Security ne peut pas
effectuer d’action automatique, vous serez invité à choisir une action (supprimer ou ignorer). Ce paramètre est
recommandé dans la plupart des cas.
Toujours demander à l'utilisateur final
Aucune action automatique ne sera effectuée par ESET Mail Security. Vous serez invité à choisir une action.
Exclusions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette
section du réglage des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de l'analyse.
Autre
Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à la demande,
les options suivantes dans Autres seront aussi offertes :
Analyser les flux de données alternatifs (ADS)
Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de
dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations
tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible
Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des
programmes qui exigent beaucoup de ressources du système, vous pouvez activer l'analyse en arrière-plan à
faible priorité de manière à réserver des ressources pour vos applications.
Consigner tous les objets
Si cette option est sélectionnée, le fichier journal affiche tous les fichiers analysés, même ceux qui ne sont pas
infectés.
Activer l'optimisation intelligente
Lorsque la fonction Optimisation intelligente est activée, les paramètres les plus optimaux sont utilisés pour
assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la plus élevée. Les différents
modules de protection effectuent une analyse intelligente, utilisant pour ce faire différentes méthodes d'analyse
et les appliquant à différents types de fichier. Si l'optimisation intelligente est activée, seuls les paramètres définis
par l'utilisateur dans le cœur ThreatSense du module spécifique seront appliqués lors de l'analyse.
Conserver la date et l'heure du dernier accès
Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu de la mettre à
jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données).
Limites
187
La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à
analyser :
Paramètres par défaut de l'objet
Activer pour utiliser les paramètres par défaut (aucune limite). ESET Mail Security ignorera vos paramètres
personnalisés.
Taille d'objet maximale
Définit la taille maximale des objets à analyser. Le module de protection donné n'analysera alors que les objets
dont la taille est inférieure à celle indiquée. Cette option ne devrait être modifiée que par des utilisateurs
expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut :
illimitée.
Durée d'analyse maximale pour l'objet (en secondes)
Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par
l'utilisateur, le module de protection cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit
terminée ou non. Valeur par défaut : illimitée.
Configuration de l'analyse des archives
Pour modifier les paramètres d'analyse des archives, désélectionnez Paramètres d'analyse d'archive par défaut.
Niveau d'imbrication des archives
Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10. Pour les objets détectés par la
Protection du transport de la boîte de courriel, le niveau d'imbrication actuel est de +1, car les pièces jointes
d'archive contenues dans un courriel sont considérées comme étant de premier niveau.
Si vous avez un niveau d'imbrication réglé sur 3, un fichier d'archive avec un niveau d'imbrication de 3 ne
sera analysé que sur une couche de transport jusqu'à son niveau réel qui est 2. Par conséquent, si vous
souhaitez que les archives soient analysées par la protection de transport de la boîte de courriels jusqu'au
niveau 3, réglez la valeur de Niveau d'imbrication d'archive à 4.
Taille maximale de fichier dans l'archive
Cette option permet de préciser la taille maximale des fichiers (lors de leur extraction) à analyser, contenus dans
les archives. Valeur par défaut : illimitée.
Il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a
aucune raison de le faire.
Autres ThreatSense paramètres
Autres paramètres de ThreatSense pour les fichiers nouvellement créés et modifiés
La probabilité qu'un fichier nouvellement créé ou modifié soit infecté est plus grande comparativement aux
fichiers existants. C'est pour cette raison que le programme utilise des paramètres d'analyse supplémentaires
pour vérifier ces fichiers. Outre les méthodes d'analyse basées sur les signatures, les heuristiques avancées sont
aussi utilisées, ce qui permet de détecter les nouvelles menaces avant la diffusion de la mise à jour du module. En
plus des fichiers nouvellement créés, l'analyse est aussi effectuée sur les fichiers autoextractibles (.sfx) et les
logiciels de compression exécutables (fichiers exécutables compressés internes).
Par défaut, les archives sont analysées jusqu'au 10e niveau d'imbrication et vérifiées indépendamment de leur
taille réelle. Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les paramètres
d'analyse de l'archive.
Autres paramètres de ThreatSense pour les fichiers exécutés
Par défaut, les heuristiques avancées sont utilisées lorsque des fichiers sont exécutés. Lorsque cette option est
activée, nous vous recommandons fortement de conserver l'optimisation intelligente et ESET LiveGrid® activés
afin de réduire l'incidence sur la performance du système.
188
Extensions de fichier exclues de l'analyse
Une extension est la partie d'un nom de fichier délimitée par un point. L'extension définit le type d'un fichier.
Normalement, tous les fichiers sont analysés. Toutefois, si vous devez exclure des fichiers avec une extension
spécifique, la configuration des paramètres de ThreatSense vous permet d'exclure les fichiers de l'analyse en
fonction de leur extension. L'exclusion peut être utile si l'analyse de certains types de fichiers empêche le bon
fonctionnement d'une application.
Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter. Tapez l'extension dans le champ de texte
(par exemple, tmp) et cliquez sur OK. Lorsque vous sélectionnez Saisir plusieurs valeurs, vous pouvez
ajouter plusieurs extensions de fichier délimitées par des lignes, des virgules ou des points-virgules (par
exemple, choisissez Point-virgule dans le menu déroulant en tant que séparateur et tapez edb;eml;tmp).
Vous pouvez utiliser le symbole spécial ? (point d'interrogation). Le point d'interrogation représente
n'importe quel symbole (par exemple ?db).
Pour afficher l'extension (type de fichier) de tous les fichiers d'un système d'exploitation Windows,
désélectionnez Masquer les extensions pour les types de fichiers connus dans Panneau de configuration >
Options de dossier > Affichage.
Exclusions de processus
La fonctionnalité d'exclusion des processus vous permet d'exclure les processus d'application de l'analyse à l'accès
de la protection contre les programmes malveillants uniquement. En raison du rôle essentiel des serveurs dédiés
(serveur d'applications, serveur de stockage, etc.), des sauvegardes régulières sont obligatoires pour garantir une
récupération rapide après un incident de quelque nature que ce soit.
Afin d'améliorer la vitesse de sauvegarde, l'intégrité du processus et la disponibilité du service, certaines
techniques reconnues pour entrer en conflit avec la protection contre les logiciels malveillants au niveau des
fichiers sont utilisées pendant la sauvegarde. Des problèmes similaires peuvent survenir lors des tentatives de
migration des machines virtuelles en direct.
Le seul moyen efficace pour éviter de tomber dans ces deux situations est de désactiver le logiciel de anti-logiciel
malveillant. L'exclusion de processus spécifiques (par exemple les processus relatifs à la solution de sauvegarde)
ignore et juge comme fiables toutes les opérations fichier attribuées à de tels processus exclus, ce qui réduit
l'interférence du processus de sauvegarde. Nous vous recommandons de faire preuve de prudence lors de la
création d'exclusions - un outil de sauvegarde qui a été exclu peut accéder aux fichiers infectés sans déclencher
une alerte. Pour cette raison, les permissions élargies ne sont autorisés que dans le module de protection en
temps réel.
La fonctionnalité d'exclusion des processus aide à minimiser le risque de conflits potentiels et améliore la
performance des applications exclues, ce qui a par la suite un effet positif sur la performance générale et la
stabilité du système d'exploitation. L'exclusion d'un processus ou d'une application est une exclusion de son
fichier exécutable (.exe).
Vous pouvez ajouter des fichiers exécutables dans la liste des processus exclus en utilisant Configuration avancée
(F5) > Computer > Protection en temps réel du système de fichiers > Basique > Exclusions des processus ou en
utilisant la liste des processus en cours d'exécution à partir du menu principal Outils > Processus en cours
d'exécution.
Cette fonctionnalité a été conçue pour exclure les outils de sauvegarde. L'exclusion des outils de sauvegarde du
189
processus d'analyse garantit non seulement la stabilité du système, mais aussi permet de ne pas affecter les
performances de la sauvegarde, car la sauvegarde n'est pas ralentie pendant son exécution.
Cliquez sur Modifier pour ouvrir la fenêtre de gestion Exclusions des processus où vous pouvez Ajouter des
exclusions et rechercher un fichier exécutable (par exemple, Backup-tool.exe), qui sera exclu de l'analyse.
Dès que le fichier .exe est ajouté aux exclusions, l'activité de ce processus n'est pas surveillée par ESET Mail
Security et aucune analyse n'est exécutée sur les opérations de fichiers effectuées par ce processus.
Si vous n'utilisez pas la fonction de navigation lorsque vous sélectionnez un exécutable de processus, vous
devez entrer manuellement un chemin d'accès complet à l'exécutable. Sinon, l'exclusion ne fonctionnera
pas correctement et HIPS peut signaler des erreurs.
Vous pouvez également modifier les processus existants ou les supprimer des exclusions.
Par exemple, comme la protection de l'accès Web ne tient pas compte cette exclusion, les fichiers
téléchargés sont quand même analysés si vous excluez le fichier exécutable de votre navigateur Web. De
cette façon, une infiltration peut encore être détectée. Ce scénario est offert à titre d'exemple seulement.
Il n'est pas recommandé de créer des exclusions pour les navigateurs Web.
Protection basée sur le nuage
ESET LiveGrid® est un système avancé d'avertissement anticipé composé de plusieurs technologies basées sur le
nuage. Il permet de détecter les menaces émergentes selon la réputation et améliore l'efficacité de l'analyse
grâce à des listes blanches. La diffusion en temps réel de l'information liée aux menaces à partir du nuage permet
aux laboratoires de recherche sur les logiciels malveillants ESET de fournir une réponse rapide et une protection
uniforme en tout temps. Les utilisateurs peuvent vérifier la réputation du processus en cours d'exécution et des
fichiers directement à partir de l'interface du programme ou du menu contextuel avec des informations
supplémentaires disponibles à partir de ESET LiveGrid®.
Lors de l'installation de ESET Mail Security, sélectionnez l'une des options suivantes :
• Vous pouvez décider de ne pas activer ESET LiveGrid®. Votre logiciel ne perdra aucune fonctionnalité, mais
pourra, dans certains cas, ESET Mail Security répondre plus rapidement aux nouvelles menaces que la mise à
jour de la base de données du moteur de détection.
• Vous pouvez configurer ESET LiveGrid® pour qu'il envoie des données anonymes concernant de nouvelles
menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé à ESET pour une analyse
détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces.
190
Le système ESET LiveGrid® recueille sur votre ordinateur des données concernant de nouvelles menaces
détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue,
le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre
ordinateur et de l'information sur le système d'exploitation de votre ordinateur.
Par défaut, ESET Mail Security est configuré pour envoyer les fichiers suspects aux laboratoires de virus d'ESET
pour analyse. Les fichiers portant certaines extensions comme .docx ou .xlsx sont toujours exclus. Vous pouvez
aussi ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre organisation souhaitez éviter l'envoi.
Activer le système de réputation d'ESET LiveGrid® (recommandé)
Le système de réputation d'ESET LiveGrid® améliore l'efficacité des solutions de protection contre les logiciels
malveillants d'ESET en comparant les fichiers analysés à une base de données d'éléments d'une liste blanche et
d'une liste noire dans le nuage.
Activer le système de rétroaction d'ESET LiveGrid®
Les données seront envoyées au laboratoire de recherche d'ESET pour fins d'analyses plus approfondies.
Envoyer les rapports de plantage et les données de diagnostic
Soumettre des données comme les rapports de plantage, les modules ou les vidages de mémoire.
Soumettre des statistiques anonymes
Autorise ESET à collecter des renseignements sur les menaces nouvellement détectées tels que le nom de la
menace, la date et l'heure de la détection, la méthode et les métadonnées associées à la détection, les fichiers
analysés (le hachage, le nom de fichier, l'origine du fichier, les données de télémétrie) les URL bloquées et
suspicieuses la version du produit et sa configuration y compris les renseignements sur votre système.
Adresse courriel du contact (facultative)
Votre adresse électronique de contact peut être incluse avec tous les fichiers suspects et peut être utilisée pour
vous contacter si des informations complémentaires sont nécessaires pour l'analyse. Veuillez noter que vous ne
recevrez pas de réponse d'ESET à moins que des informations complémentaires ne soient nécessaires.
Envoi d'échantillons
191
Envoi automatique des échantillons infectés
Cela enverra tous les échantillons infectés à ESET pour analyse dans le but d'améliorer la détection à l'avenir.
• Tous les échantillons infectés
• Tous les échantillons à l'exception des documents
• Ne pas envoyer
Envoi automatique des échantillons suspects
Les fichiers suspects ressemblant à des menaces et/ou des échantillons ayant des caractéristiques ou un
comportement inhabituels sont envoyés à ESET pour analyse.
• Fichiers exécutables : Comprend les fichiers exécutables suivants : .exe, .dll, .sys
• Archives - Comprend les types de fichiers d'archive suivants : .zip, .rar, .7z, .arch, .arj, .bzip2, .gzip, .ace, .arc,
.cab
• Scripts - Comprend les types de fichiers de script suivants : .bat, .cmd, .hta, .js, .vbs, .js, .ps1
• Autres : Comprend les types de fichiers suivants :.jar, .reg, .msi, .swf, .lnk
• Pourriels éventuels - Améliore la détection des pourriels à l'échelle mondiale.
• Documents : Inclut des documents Microsoft Office ou des fichiers PDF avec du contenu actif.
Exclusions
L'option Modifier située à côté de l'élément Exclusions dans ESET LiveGrid® vous permet de configurer la façon
dont les menaces sont envoyées aux laboratoires ESET Virus Labs pour analyse.
Taille maximale de l'échantillon (Mo)
Définit la taille maximale des échantillons à analyser.
ESET LiveGuard Advanced
Pour activer le service ESET LiveGuard Advanced sur une machine cliente utilisant ESET PROTECT Web Console.
Dans ESET PROTECT Web Console créez une nouvelle politique ou modifiez une politique existante et affectez-la
aux machines sur lesquelles vous souhaitez utiliser ESET LiveGuard Advanced.
Filtre d'exclusion
Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission. Ainsi, il est utile d'exclure des
fichiers qui peuvent comporter des données confidentielles, tels que des documents ou des feuilles de calcul.
Les fichiers répertoriés ne seront jamais envoyés aux laboratoires ESET pour analyse, même s’ils contiennent du
code suspect.
Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette
liste, au besoin.
Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des paquets de
données à envoyer. Même après la désactivation, de tels paquets seront envoyés à ESET. Une fois toutes les
données actuelles envoyées, aucun autre paquet ne sera créé.
192
Si vous trouvez un fichier suspect, vous pouvez l'envoyer à nos laboratoires ThreatLabs pour analyse. S'il contient
une application malveillante, il sera ajouté à la prochaine mise à jour du module de détection.
Analyses de logiciels malveillants
Cette section fournit des options pour sélectionner les paramètres d'analyse.
Ce sélecteur de profil d'analyse s'applique à l'analyse de l'ordinateur à la demande et à l'analyse Hyper-V.
Profil sélectionné
Un ensemble particulier de paramètres utilisés par l'analyseur à la demande. Vous pouvez utiliser l'un des profils
de numérisation prédéfinis ou créer un nouveau profil. Les profils de numérisation utilisent différents paramètres
moteur de ThreatSense.
Liste des profils
Pour créer un nouveau profil, cliquez sur Modifier. Tapez le nom du profil et cliquez sur Ajouter. Le nouveau profil
s'affiche dans le menu déroulant Profil sélectionné qui répertorie les profils de d'analyse existants.
Cibles à analyser
Pour analyser qu'une cible en particulier, cliquez sur Modifier et choisissez une option dans le menu déroulant ou
choisissez des cibles spécifiques dans la structure des dossiers (arborescence).
paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyseur de l'ordinateur à la demande.
Protection à la demande et apprentissage machine
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine.
Gestionnaire de profils
Le menu déroulant Profil d'analyse vous permet de sélectionner des profils d'analyse prédéfinis.
193
• Analyse intelligente
• Analyse par menu contextuel
• Analyse détaillée
• Mon profil (s'applique à Analyse Hyper-V, Mettre à jour les profiles)
Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration du
moteur ThreatSense pour une description de chacun des paramètres de configuration de l'analyse.
Le gestionnaire de profils est utilisé à trois endroits dans ESET Mail Security.
Analyse de l'ordinateur à la demande
Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de
créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour
chacune des analyses utilisées régulièrement.
Mettre à jour
L'éditeur de profils permet aux utilisateurs de créer de nouveaux profils de mise à jour. Il est nécessaire de créer
des profils de mise à jour personnalisés seulement si votre ordinateur utilise plusieurs moyens pour se connecter
aux serveurs de mise à jour.
Analyse Hyper-V
Créez un nouveau profil, sélectionnez Modifier en regard de Liste des profils. Le nouveau profil s'affiche dans le
menu déroulant Profil sélectionné qui répertorie les profils de d'analyse existants.
Cibles du profil
Vous pouvez spécifier ce qui sera analysé à la recherche des infiltrations. Choisissez des objets (mémoire, secteurs
de démarrage et UEFI, lecteurs, fichiers et dossiers ou réseau) dans l'arborescence qui répertorie toutes les cibles
disponibles sur votre système. Cliquez sur l'icône représentant une roue dentée dans le coin supérieur gauche
pour accéder aux menus déroulants Cibles d'analyse et Profil d'analyse.
Ce sélecteur de profil d'analyse s'applique à l'analyse de l'ordinateur à la demande et à l'analyse Hyper-V.
Mémoire vive
Analyse tous les processus et toutes les données actuellement utilisés par la mémoire
d’exploitation.
Secteurs
d'amorçage/UEFI
Analyse les secteurs de démarrage et UEFI à la recherche de logiciels malveillants. Pour
en savoir plus sur l'analyseur d'UEFI, consultez le glossaire.
Base de données WMI
Analyse toute la base de données de Windows Management Instrumentation (WMI),
tous les espaces de noms, toutes les instances de classes et toutes les propriétés.
Recherche des références à des fichiers infectés ou des logiciels malveillants incorporés
sous forme de données.
Registre système
Analyse l’ensemble du registre système, toutes les clés et sous-clés. Recherche des
références à des fichiers infectés ou des logiciels malveillants incorporés sous forme de
données. Lors du nettoyage des détections, la référence reste dans le registre pour
s’assurer qu’aucune donnée importante ne sera perdue.
194
Pour accéder rapidement à une cible d’analyse ou ajouter un ou plusieurs dossiers cibles, entrez le répertoire
cible dans le champ vide sous la liste des dossiers.
Le menu déroulant Cibles d'analyse permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres de profil
Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports amovibles
Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux
Sélectionne tous les disques durs du système.
Lecteurs réseau
Sélectionne tous les disques réseau mappés.
Dossiers partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection personnalisée Efface toutes les sélections. Une fois effacées, vous pouvez faire votre sélection
personnalisée.
Pour accéder rapidement à une cible d'analyse (fichier ou dossier) afin de l'inclure dans l'analyse, entrez son
chemin dans le champ de texte sous l'arborescence. La saisie du chemin est sensible à la casse.
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis :
• Analyse intelligente
• Analyse par menu contextuel
195
• Analyse détaillée
• Analyse de l'ordinateur
Ces profils d'analyse utilisent différents paramètres du moteur ThreatSense.
Analyse sans nettoyage
Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser sans
nettoyer. Cela est utile si vous ne voulez obtenir qu'un aperçu des éléments infectés et obtenir des détails sur ces
infections, le cas échéant. Vous pouvez choisir parmi trois niveaux de nettoyage en cliquant sur Configuration >
Paramètres ThreatSense > Nettoyage. Les données de l'analyse sont enregistrées dans un journal d'analyse.
Ignorer les exclusions
Lorsque vous sélectionnez Ignorer les exclusions, l'analyse ignorera les exclusions qui autrement s'appliqueraient.
Cibles à analyser
Si vous ne souhaitez analyser qu'une cible en particulier, vous pouvez utiliser Analyse personnalisée et
sélectionner une option dans le menu déroulant Cibles d'analyse ou choisir des cibles spécifiques dans la
structure des dossiers (arborescence).
Le sélecteur de profil de cibles d'analyse s'applique à :
• Analyse à la demande
• Analyse Hyper-V
Pour accéder rapidement à une cible d'analyse ou ajouter directement une nouvelle cible souhaitée (dossier ou
fichier), entrez-la dans le champ vide sous la liste de dossiers. Cela n'est possible que si aucune cible n'a été
sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à Aucune sélection.
Mémoire vive
Analyse tous les processus et toutes les données actuellement utilisés par la mémoire
d’exploitation.
Secteurs
d'amorçage/UEFI
Analyse les secteurs de démarrage et UEFI à la recherche de logiciels malveillants. Pour
en savoir plus sur l'analyseur d'UEFI, consultez le glossaire.
Base de données WMI
Analyse toute la base de données de Windows Management Instrumentation (WMI),
tous les espaces de noms, toutes les instances de classes et toutes les propriétés.
Recherche des références à des fichiers infectés ou des logiciels malveillants incorporés
sous forme de données.
Registre système
Analyse l’ensemble du registre système, toutes les clés et sous-clés. Recherche des
références à des fichiers infectés ou des logiciels malveillants incorporés sous forme de
données. Lors du nettoyage des détections, la référence reste dans le registre pour
s’assurer qu’aucune donnée importante ne sera perdue.
Le menu déroulant Cibles d'analyse permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres de profil
Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports amovibles
Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux
Sélectionne tous les disques durs du système.
196
Par paramètres de profil
Sélectionne les cibles dans le profil d'analyse sélectionné.
Lecteurs réseau
Sélectionne tous les disques réseau mappés.
Dossiers partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection personnalisée Efface toutes les sélections. Une fois effacées, vous pouvez faire votre sélection
personnalisée.
Vous pouvez choisir le profil à utiliser pour analyser les cibles visées dans le menu déroulant Profil d'analyse. Le
profil par défaut est Analyse intelligente. Le profil par défaut est Analyse intelligente. Il existe deux autres profils
d'analyse prédéfinis appelés Analyse approfondie et Analyse par menu contextuel. Ces profils d'analyse utilisent
différents paramètres du moteur ThreatSense.
Fenêtre Analyse personnalisée :
Analyse sans nettoyage : Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire,
sélectionnez Analyser sans nettoyer. Cela est utile si vous ne voulez obtenir qu'un aperçu des éléments infectés et
obtenir des détails sur ces infections, le cas échéant. Vous pouvez choisir parmi trois niveaux de nettoyage en
cliquant sur Configuration > Paramètres ThreatSense > Nettoyage. Les données de l'analyse sont enregistrées
dans un journal d'analyse.
Ignorer les exclusions : Vous pouvez effectuer une analyse en ignorant les exclusions qui autrement
s'appliqueraient.
Action après l’analyse : Permet de choisir l’action à prendre une fois l’analyse terminée dans le menu déroulant.
L'analyse ne peut pas être interrompue : Empêche les utilisateurs non autorisés d'interrompre les actions
entreprises après l'analyse.
L’analyse peut être suspendue par l’utilisateur pendant (min) : Permet à l'utilisateur restreint d'interrompre
l'analyse de l'ordinateur pendant la durée spécifiée.
197
Interrompre l’analyse automatiquement après (min) : Permet d’annuler l’analyse si elle prend plus de temps que
la limite de temps spécifiée.
Analyser en tant qu'administrateur : L'option Analyser en tant qu'administrateur permet d'exécuter l'analyse
avec le compte d'administrateur. Cliquez sur cette option si l'utilisateur actuel n'a pas les privilèges requis pour
accéder aux fichiers appropriés devant être analysés. À noter que ce bouton n'est pas disponible si l'utilisateur
actuel ne peut appeler les opérations UAC en tant qu'administrateur.
Analyse à l'état inactif
Lorsque l'ordinateur est inactif, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques locaux.
La détection à l'état de repos s'exécute lorsque l'ordinateur est dans l'un des états suivants :
• Écran ou écran de veille désactivé
• Verrouillage de l'ordinateur
• Fermeture de session de l'utilisateur
Exécuter même si l'ordinateur est alimenté par batterie
Par défaut, l'analyseur à l'état de repos ne sera pas exécuté lorsque l'ordinateur (portable) est alimenté par pile.
Activer la journalisation
Pour enregistrer les résultats des analyses dans la section Fichiers journaux (dans la fenêtre principale du
programme, cliquez sur Fichiers journaux, puis sélectionnez le type de journalisation Analyse de l'ordinateur dans
le menu déroulant).
paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyseur à l'état de repos.
Analyse au démarrage
La vérification automatique des fichiers de démarrage sera effectuée par défaut au démarrage du système
(ouverture de session utilisateur) et après une mise à jour réussie du module. Cette analyse dépend de la
Configuration et des tâches du Planificateur.
Les options d'analyse au démarrage font partie de la tâche du planificateur Vérification de fichiers au démarrage
du système.
Pour modifier les paramètres d'analyse au démarrage, allez à Outils > Planificateur, puis sélectionnez l'une des
tâches nommées Vérification automatique des fichiers au démarrage (connexion de l'utilisateur ou mise à jour
du module) et cliquez sur Modifier. Suivez les instructions de l'assistant et dans la dernière étape, vous pouvez
modifier les options détaillées de la Vérification automatique des fichiers au démarrage.
198
Vérification automatique des fichiers de démarrage
Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options
s'offrent à vous pour définir les paramètres suivants :
Le menu déroulant Cibles de l'analyse précise la profondeur de l'analyse pour les fichiers exécutés au démarrage
du système. Les fichiers sont classés en ordre ascendant, selon les critères suivants :
• Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés)
• Fichiers rarement utilisés
• Fichiers communément utilisés
• Fichiers fréquemment utilisés
• Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers analysés)
Deux groupes de Cibles de l'analyse particuliers sont aussi inclus :
Fichiers exécutés avant la connexion de l'utilisateur
Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder sans que l'utilisateur n'ait
ouvert de session (comprend presque tous les emplacements de démarrage comme les services, les objets
application d'assistance du navigateur, la notification winlogon, les entrées dans le planificateur de Windows, les
dll connus, etc.).
Les fichiers s'exécutent après l'ouverture de session
Contient des fichiers qui se trouvent dans des emplacements accessibles uniquement après la connexion d'un
utilisateur (inclut les fichiers exécutés uniquement par un utilisateur spécifique, généralement des fichiers dans
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Les listes de fichiers à analyser sont fixes, pour chacun des groupes susmentionnés.
199
Priorité de l'analyse
Le niveau de priorité à utiliser pour déterminer à quel moment débutera l'analyse :
• Normal - Pour une charge système moyenne.
• Faible - Lorsque la charge système est faible.
• Minimale - Lorsque la charge système est la plus faible possible.
• Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif.
Supports amovibles
ESET Mail Security effectue une analyse automatique des supports amovibles (CD/DVD/USB). Ce module permet
d'analyser le support inséré. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher les utilisateurs
d'utiliser des supports amovibles comportant un contenu non sollicité.
Lorsqu'un support amovible est inséré, la boîte de dialogue suivante affichera les renseignements suivants :
• Analyser maintenant - Déclenche l'analyse du support amovible.
• Ne pas analyser—Supports amovibles will not be analyser.
• Configuration - Ouvre la configuration avancée.
• Toujours utiliser l'option sélectionnée - Lorsque cette case est cochée, la même action sera effectuée la
prochaine fois qu'un support amovible sera inséré.
De plus, ESET Mail Security comprend également la fonctionnalité de contrôle de périphériques qui offre la
possibilité de définir des règles pour l'utilisation des périphériques externes sur un ordinateur particulier.
200
Pour accéder aux paramètres de l’analyse des supports amovibles, ouvrez Configuration avancée (F5) >
Notifications > Alertes interactives > Modifier. Si l’option Demander à l'utilisateur n’est pas sélectionnée,
choisissez l'action exécutée lorsqu'un support amovible est inséré dans l'ordinateur :
• Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté sera
fermée.
• Analyse automatique du périphérique—Une analyse de l'ordinateur à la demande du support amovible
inséré sera effectuée.
• Analyse forcée du périphérique : une analyse du support amovible inséré dans l’ordinateur sera effectuée
et ne pourra pas être annulée.
• Afficher les options d’analyse : ouvre la section de configuration des alertes interactives.
Protection des documents
La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture,
comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX.
La protection des documents offre une couche de protection, en plus de la protection en temps réel du système
de fichier, et peut être désactivée afin d'améliorer la performance de systèmes non exposés à un volume élevé de
documents Microsoft Office.
Intégrer dans le système
Cette option améliore la protection des documents Microsoft Office (non requis dans des conditions normales).
paramètres ThreatSense
Modifier les paramètres pour la protection des documents.
Cette fonctionnalité est activée par des applications utilisant Antivirus API de Microsoft (par ex., Microsoft
Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures).
Analyse Hyper-V
La version actuelle de l'analyse Hyper-V prend en charge l'analyse d'un système virtuel en ligne ou hors ligne dans
Hyper-V. Les types d'analyse pris en charge selon le système Windows Hyper-V hébergé et l'état du système
virtuel sont affichés ici :
Systèmes virtuels avec fonctionnalité Hyper-V Machine virtuelle en ligne Machine virtuelle hors ligne
Windows Server 2022 Hyper-V
lecture seule
lecture seule/nettoyage
Windows Server 2019 Hyper-V
lecture seule
lecture seule/nettoyage
Windows Server 2016 Hyper-V
lecture seule
lecture seule/nettoyage
Windows Server 2012 R2 Hyper-V
lecture seule
lecture seule/nettoyage
Windows Server 2012 Hyper-V
lecture seule
lecture seule/nettoyage
Configuration matérielle
La performance du serveur ne devrait pas être affectée lors de l'exécution de machines virtuelles. L'activité
201
d'analyse utilise principalement les ressources du processeur. Pour analyser les MV en ligne, de l'espace disque
libre est requis. L'espace disque libre doit être au moins le double de l'espace utilisé par les points de
reprise/captures d'écran et les disques virtuels.
Limitations spécifiques
• L'analyse sur stockage RAID, des volumes fractionnés et des disques dynamiques n'est pas prise en charge
en raison de la nature des disques dynamiques. Par conséquent, il est recommandé d'éviter d'utiliser les
disques dynamiques dans votre MV, si possible.
• L'analyse est toujours effectuée sur la machine virtuelle en cours et n'affecte pas les points de contrôle ou
les instantanés.
• L'exécution d'Hyper-V sur un hôte dans la grappe n'est actuellement pas prise en charge par ESET Mail
Security.
Bien qu'ESET Security prenne en charge l'analyse du disque virtuel MBR, l'analyse en lecture seule est la
seule méthode prise en charge pour ces cibles. Il est possible de modifier ce paramètre dans Configuration
avancée (F5) > Computer > Analyse Hyper-V > ThreatSense Paramètres > Secteurs d'amorçage.
La machine virtuelle qui doit être analysée est « hors ligne » - mise en Arrêt
ESET Mail Securityutilise la gestion Hyper-V pour détecter et se connecter aux disques virtuels. Ainsi, ESET Mail
Security a le même accès au contenu des disques virtuels, comme s'il accédait aux données et aux fichiers de
n'importe quel lecteur générique.
La machine virtuelle qui doit être analysée est « en ligne » - En cours d'exécution, Suspendue, Enregistrée
ESET Mail Securityutilise Gestion Hyper-V pour détecter et se connecter aux disques virtuels. Une connexion
réelle à ces disques n'est pas possible. Par conséquent, ESET Mail Security crée un point de reprise ou une capture
d'écran de la machine virtuelle, puis se connecte au point de reprise ou à la capture d'écran. Une fois l'analyse
terminée, le point de reprise ou la capture d'écran est supprimé. Cela veut dire que l'analyse en lecture seule peut
être exécutée, parce que l'activité d'analyse n'a aucune répercussion sur la machine virtuelle.
Prévoyez une minute pour que ESET Mail Security crée un instantané ou un point de contrôle lors de l'analyse. Il
serait utile d'en tenir compte lorsque vous exécutez une analyse Hyper-V sur un grand nombre de machines
virtuelles.
Convention de dénomination
Le module d'analyse Hyper-V utilise la convention de dénomination suivante :
VirtualMachineName\DiskX\VolumeY
Où X représente le nombre de disques et Y le nombre de volumes. Par exemple :
Computer\Disk0\Volume1
Le suffixe numérique est ajouté en fonction de l'ordre de détection et est identique à l'ordre qui apparaît dans le
Gestionnaire de disques de la MV. Cette convention de dénomination est utilisée dans le menu déroulant
arborescent des cibles à analyser dans la barre de progression et les fichiers journaux.
202
Effectuer une analyse
• À la demande - Cliquez sur Analyse Hyper-V pour consulter la liste des machines virtuelles et des volumes
disponibles pour l'analyse. Sélectionnez la(les) machine(s) virtuelle(s), le(s) disque(s) ou le(s) volume(s) que
vous souhaitez analyser et cliquez sur Analyser.
• Pour créer une nouvelle tâche planifiée :
• À l'aide d'ESET PROTECT en tant que tâche client nommée Analyse du serveur.
• Il est possible de démarrer et de gérer l'analyse Hyper-V par eShell.
Il est possible d'effectuer plusieurs analyses Hyper-V en même temps. Vous recevrez une notification avec un lien
pour consigner des fichiers lorsque l'analyse est terminée.
Problèmes possibles
• Lors de l'exécution de l'analyse d'une machine virtuelle en ligne, un point de contrôle ou un instantané de
la machine virtuelle en question doit être créé. Lors de la création d'un point de contrôle ou d'un instantané,
certaines actions génériques de la machine virtuelle peuvent être limitées ou désactivées.
• Si une machine virtuelle hors ligne est analysée, elle ne peut être mise en marche tant que l'analyse n'est
pas terminée.
• Le gestionnaire Hyper-V vous permet de donner le même nom à deux machines virtuelles différentes, ce
qui peut être problématique lorsque vous voulez différencier les machines en consultant les journaux
d'analyse.
Pour créer un nouveau profil, sélectionnez Modifier à côté de Liste des profils, entrez votre propre Nom de profil
et cliquez sur Ajouter. Le nouveau profil s'affiche dans le menu déroulant Profil sélectionné qui répertorie les
profils de d'analyse existants.
Le menu déroulant Cibles d'analyse pour Hyper-V permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres de profil
Sélectionne les cibles dans le profil d'analyse sélectionné.
Toutes les machines virtuelles Sélectionne toutes les machines virtuelles.
Machines virtuelles allumées Sélectionne toutes les machines virtuelles en ligne.
Machines virtuelles éteintes
Sélectionne toutes les machines virtuelles hors ligne.
Aucune sélection
Efface toutes les sélections.
Cliquez sur l’icône
et modifiez l’intervalle pour arrêter l’analyse si elle dure plus de (minutes) et utilisez plutôt
une durée de préférence (située entre 1 et 2880 minutes).
Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. Une fois
toutes les analyses terminées, cochez la case Fichiers journaux > Analyse Hyper-V
Protection d'Hyper-V et de l'apprentissage automatique
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine.
203
paramètres ThreatSense
Permet de modifier les paramètres d’analyse pour l’analyse Hyper-V.
HIPS
Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels
malveillants et de toute activité indésirable qui tentent de modifier la sécurité de votre ordinateur. Il utilise, pour
ce faire, une analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau
utilisées dans la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la
protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus
en cours d'exécution au sein du système d'exploitation.
Seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. Une mauvaise
configuration des paramètres HIPS peut rendre le système instable.
Activer Autodéfense
ESET Mail Security comporte une technologie d'auto-défense intégrée qui empêche les logiciels malveillants de
corrompre ou de désactiver votre protection contre les logiciels malveillants pour que vous soyez toujours certain
que votre système est protégé en tout temps. Les modifications apportées aux paramètres Activer HIPS et Activer
Autodéfense prendront effet après le redémarrage du système d'exploitation Windows. Désactiver l'ensemble du
système HIPS exigera également un redémarrage de l'ordinateur.
Activer le service protégé
Microsoft a introduit un concept de services protégés avec Microsoft Windows Server 2012 R2. Il empêche un
service contre les attaques de logiciels malveillants. Le noyau de ESET Mail Security fonctionne en tant que service
protégé par défaut. Cette fonctionnalité est disponible sur Microsoft Windows Server 2012 R2 et les nouveaux
systèmes d'exploitation de serveur.
Activer Advanced Memory Scanner
Fonctionne de paire avec un bloqueur d'exploit pour renforcer la protection contre les logiciels malveillants qui
ont été conçus pour contourner les produits de détection de logiciels malveillants en utilisant l'obscurcissement
ou le chiffrement. L'Analyseur de mémoire avancé est activé par défaut. Pour en savoir plus sur ce type de
protection, consultez le glossaire.
Activer Exploit Blocker
Est conçu pour protéger les types d'applications souvent exploités, comme les navigateurs, les lecteurs PDF, les
clients de messagerie et les composants Microsoft Office. Le bloqueur d'exploit est activé par défaut. Pour en
savoir plus sur ce type de protection, consultez le glossaire .
Activer le bouclier anti-rançongiciel
Pour utiliser cette fonctionnalité, activez HIPS et ESET Live Grid. Pour en savoir plus sur les rançongciels, consultez
le glossaire
Mode de filtrage
Vous pouvez choisir l'un des modes de filtrage suivants :
204
• Mode automatique - Les opérations sont activées, à l'exception de celles bloquées par des règles
prédéfinies qui protègent votre système. Tout est autorisé à l'exception des actions refusées par la règle.
• Mode de démarrage - L'utilisateur ne sera informé que des événements vraiment suspects.
• Mode interactif - L'utilisateur sera invité à confirmer les opérations. Autoriser / refuser l'accès, Créer une
règle, Mémoriser temporairement cette action.
• Mode basé sur des règles personnalisées - Les opérations seront bloquées. Accepte uniquement les règles
utilisateur / prédéfinies.
• Mode d'apprentissage - Les opérations sont activées et une règle est créée, après chaque opération. Les
règles créées dans ce mode peuvent être affichées dans l'Éditeur des règles, mais leur priorité sera
inférieure aux règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez le mode
d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Mode d'apprentissage se
termine le devient disponible. Sélectionnez la durée pendant laquelle vous souhaitez activer le mode
d'apprentissage) la durée maximale est de 14 jours). Une fois que la durée indiquée sera écoulée, vous serez
invité à modifier les règles créées par HIPS alors qu'il était en mode d'apprentissage. Vous pouvez également
choisir un mode de filtrage différent, ou reporter la décision et continuer à utiliser le mode d'apprentissage.
Règles
Les règles déterminent quelles applications auront accès à quels fichiers, parties de registre ou autres
applications. Le système HIPS surveille les événements à l'intérieur du système d'exploitation et réagit en
conséquence en fonction de règles similaires aux règles utilisées par le pare-feu personnel. Cliquez sur Modifier
pour ouvrir la fenêtre de gestion des règles HIPS. Si l'action par défaut pour une règle est mise à Demander, une
boîte de dialogue s'affichera chaque fois que la règle est déclenchée. Vous pouvez choisir de Bloquer ou
d'Autoriser l'opération. Si aucune action n'est sélectionnée dans le temps imparti, une nouvelle action sera
sélectionnée, en fonction des règles.
La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS,
puis de définir les conditions dans lesquelles autoriser ou bloquer cette action. Cliquez sur Détails pour consulter
plus d'informations. Les règles créées de cette façon sont jugées équivalentes aux règles créées manuellement.
Ainsi, la règle créée à partir d'une fenêtre de dialogue peut être moins précise que la règle qui a déclenché la
fenêtre de dialogue. Ainsi, après la création d'une telle règle, la même opération pourra déclencher l'affichage de
la même fenêtre.
205
Demander à chaque fois
Une boîte de dialogue s'affichera chaque fois que la règle est déclenchée. Vous pouvez choisir de refuser ou
d'autoriser l'opération.
Mémoriser jusqu'à la fermeture de l'application
Le choix d'une action Refuser ou Autoriser créera une règle HIPS temporaire qui sera utilisée jusqu'à la fermeture
de l'application en question. De même, si vous modifiez le mode de filtrage ou lorsque le module HIPS est mis à
jour, modifiez les règles; de plus, si vous redémarrez le système, les règles temporaires seront supprimées.
Créer la règle et mémoriser de manière permanente
Créez une nouvelle règle HIPS. Vous pouvez modifier ultérieurement cette règle dans la section Gestion des règles
HIPS.
Paramètres de règle HIPS
La fenêtre vous donne un aperçu des règles HIPS existantes.
Règle
Activé(e)
206
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans
l'utiliser.
Règle
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Action
La règle précise une action - Autoriser, Bloquer ouDemander - qui doit être effectuée lorsque
les conditions sont satisfaites.
Sources
La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications.
Cibles
La règle sera utilisée uniquement si l'opération est liée à un fichier, à une application ou à une
entrée de registre spécifique.
Gravité de
l'entrée du
journal
Si vous activez cette option, l'information au sujet de cette règle sera inscrite dans le journal
HIPS.
Notifier
Une petite fenêtre apparaît dans la zone de notification Windows si un événement est
déclenché.
Créez une nouvelle règle, cliquez sur Ajouter de nouvelles règles HIPS ou Modifier les entrées sélectionnées.
Nom de la règle
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Action
La règle précise une action - Autoriser, Bloquer ou Demander - qui doit être effectuée lorsque les conditions sont
satisfaites.
Opérations concernées
Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle sera utilisée seulement pour ce
type d'opération et pour la cible sélectionnée. La règle est constituée de plusieurs parties qui décrivent les
conditions déclenchant cette règle.
Applications sources
La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications. Sélectionnez des
applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou
dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter
toutes les applications.
Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas être bloquées et sont
autorisées par défaut. En plus, toutes les opérations système ne sont pas contrôlées par HIPS. HIPS contrôle
les opérations qui peuvent être considérées comme dangereuses.
Description d'opérations importantes :
Opérations sur le fichier
Supprimer le fichier
L'application vous invite à autoriser la suppression du fichier cible.
Écrire dans un fichier L'application vous invite à autoriser l'écriture dans le fichier cible.
Accès direct au
disque
207
L'application tente de lire ou d'écrire sur le disque d'une manière non standard, qui
contournera les procédures courantes de Windows. Cela peut entraîner la modification de
fichiers sans application des règles correspondantes. Cette opération peut être provoquée
par un logiciel malveillant qui tente d'éviter la détection, un logiciel de sauvegarde qui
essaie de faire une copie exacte d'un disque ou un gestionnaire de partitions qui tente de
réorganiser des volumes de disque.
Supprimer le fichier
L'application vous invite à autoriser la suppression du fichier cible.
Installer le crochet
global
Se réfère à l'appel de la fonction SetWindowsHookEx de la bibliothèque MSDN.
Charger le pilote
Installation et chargement de pilotes dans le système.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le menu
déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.
Activités de l'application
Déboguer une autre
application
Joindre un débogueur au processus. Lors du débogage d'une application, de
nombreux détails de son comportement peuvent être affichés et modifiés et ses
données deviennent accessibles.
Intercepter les événements à L'application source tente d'intercepter des événements destinés à une
partir d'une autre application application spécifique (par exemple un enregistreur de frappe qui tente de
capturer les événements d'un navigateur).
Mettre fin à une autre
application/la suspendre
Suspendre, reprendre ou arrêter un processus (accès direct par l'explorateur de
processus ou la fenêtre Processus).
Lancer une nouvelle
application
Lancement de nouvelles applications ou de nouveaux processus.
Modifier l'état d'une autre
application
L'application source tente d'écrire dans la mémoire de l'application cible ou
d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour
protéger une application essentielle en la configurant comme application cible
dans une règle qui bloque l'utilisation de cette opération.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications spécifiques dans le
menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Opérations sur le registre
Modifier les paramètres Toutes les modifications des paramètres qui définissent quelles applications seront
de démarrage
exécutées au démarrage de Windows. Il est possible de les trouver, par exemple,
en recherchant la clé Run dans le registre de Windows.
Supprimer du registre
Supprimer une clé de registre ou sa valeur.
Renommer la clé de
registre
Renomme les clés de registre.
Modifier le registre
Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes,
déplacer des données dans l'arborescence de la base de données ou définir les droits
du groupe ou de l'utilisateur à l'égard de clés de registre.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques dans le menu
déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
208
Vous pouvez utiliser des caractères génériques avec certaines restrictions au moment d'entrer une cible. Plutôt qu'une clé
particulière, vous pouvez utiliser un symbole * (astérisque) dans les chemins d'accès du registre. Par exemple,
HKEY_USERS\*\software can mean HKEY_USER\.default\software mais pas
HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet*
n'est pas un chemin d'accès à la clé du registre valide. Un chemin d'accès à la clé du registre contenant \* définit « ce chemin
d'accès, sur tout niveau, après ce symbole ». C'est la seule façon d'utiliser les caractères génériques pour les fichiers cibles. La
partie spécifique d'un chemin sera la première à être évaluée, puis elle sera suivie du chemin se trouvant après le caractère
générique (*).
Vous pourriez recevoir une notification si vous créez une règle trop générique.
Paramètres avancés HIPS
Les options suivantes sont utiles pour déboguer et analyser le comportement d'une application :
Toujours autoriser le chargement des pilotes
Le chargement des pilotes sélectionnés est toujours autorisé, indépendamment du mode de filtrage défini, à
l'exception des cas où un pilote est explicitement bloqué par une règle de l'utilisateur. Les pilotes affichés dans
cette liste pourront toujours être chargés indépendamment du mode de filtrage HIPS, à moins qu'ils ne soient
explicitement bloqués par une règle de l'utilisateur. Vous pouvez Ajouter un nouveau pilote, Modifier ou
Supprimer le pilote sélectionné dans la liste.
Cliquez sur Réinitialisers i vous ne voulez pas que les pilotes que vous avez ajoutés manuellement soient
inclus. Cela peut être utile si vous avez ajouté plusieurs pilotes et ne pouvez pas les supprimer de la liste
manuellement.
Consigner toutes les opérations bloquées
Toutes les opérations bloquées seront consignées dans le journal HIPS. Utilisez cette fonctionnalité uniquement
lors du dépannage ou à la demande de l'assistance technique d'ESET, car elle risque de générer un fichier journal
volumineux et de ralentir le système.
Aviser lorsqu'un changement est effectué dans les applications de démarrage
Affiche une notification sur le bureau chaque fois qu'une application est ajoutée ou supprimée du démarrage du
système.
Configuration de la mise à jour
Cette section spécifie les informations sur la source de mise à jour, telles que les serveurs de mise à jour utilisés et
les données d'authentification pour ces serveurs.
Il est essentiel d'inscrire correctement tous les paramètres de mise à jour afin de télécharger correctement
les mises à jour. Si un pare-feu est utilisé, assurez-vous que le programme ESET est autorisé à accéder à
Internet (par exemple, communication HTTP).
De base
209
Sélectionnez le profil de mise à jour par défaut
Choisissez un profil existant ou créez un autre qui sera appliqué par défaut pour
les mises à jour.
Basculement automatique entre les profils
Attribuer un profil de mise à jour en fonction des réseaux connus dans le parefeu. Le changement automatique de profil permet de changer le profil d’un
réseau spécifique en fonction des paramètres du planificateur. Consultez les
pages d’aide pour plus d’informations.
Configurer les notifications de mise à jour
Cliquez sur Modifier pour sélectionner les notifications d’application qui
s’affichent. Vous pouvez choisir si les notifications s’affichent sur le bureau ou
sont transférées à une adresse courriel.
Effacer le cache de mise à jour
Si vous avez des problèmes avec une mise à jour, cliquez sur Effacer pour effacer
la mémoire cache temporaire de mise à jour.
Mises à jour du produit
Mises à jour automatiques
Paramètre activé par défaut. Utilisez le curseur pour désactiver les mises à jour
automatiques si vous devez empêcher la mise à jour temporaire de ESET Mail
Security. Nous vous recommandons de garder ce paramètre activé pour vous
assurer que ESET Mail Security utilise les dernières mises à jour des composants
du programme (PCU) et les mises à jour des micro composants de programme
(μPCU) lorsqu’une nouvelle mise à jour est disponible.
Les mises à jour sont appliquées après le prochain redémarrage du serveur.
Alertes du moteur de détection obsolètes
Définir l'âge maximal du moteur de détection / Âge maximal du moteur de
détection (jours)
Utilisez le curseur pour désactiver l’âge du moteur de détection automatique et
définir la durée maximale manuellement (en jours) après laquelle l’âge du moteur
de détection sera signalé comme obsolète. La valeur par défaut est 7.
Annulation du module
Si vous soupçonnez qu'une nouvelle mise à jour du moteur de détection ou des
modules du programme est instable ou endommagée, vous pouvez retourner à la
version antérieure et désactiver toutes les mises à jour pour une durée choisie.
Vous pouvez aussi activer les mises à jour précédemment désactivées si vous les
aviez reportées indéfiniment. ESET Mail Security enregistre les instantanés des
moteurs de détection et des modules de programme à utiliser avec la
fonctionnalité Restaurer. Pour créer des images du moteur de détection, laissez
le commutateur Créer une image instantanée des fichiers de mise à jour activé.
Nombre d'instantanées stockées localement
Définit le nombre d'images instantanées du module précédent stockées.
Retourner aux modules précédents
Cliquez sur Restaurer pour rétablir les modules de programme à la version
Profils
précédente et désactiver temporairement les mises à jour.
Créez un nouveau profil, sélectionnez Modifier en regard de Liste des profils. Entrez votre nom de profil et
cliquez sur Ajouter. Sélectionnez le profil à modifier and modify parameters for mise à jour du module types or
create an Miroir de mise à jour.
Mises à jour
210
Sélectionnez le type de mise à jour à utiliser à partir d'un menu déroulant :
• Mise à jour régulière - Par défaut, le type de mises à jour est réglé à Mise à jour régulière afin de s'assurer que
les fichiers de mise à jour soient automatiquement téléchargés à partir du serveur ESET avec le moins de trafic
réseau possible.
• Mise à jour de préversion - Les mises à jour de préversion sont des mises à jour qui ont été soumises à des tests
internes approfondis et qui seront bientôt offertes au grand public. Elles permettent d'accéder aux méthodes de
détection et correctifs les plus récents. Cependant, il est possible que les mises à jour de préversion ne soient pas
toujours assez stables et ne DOIVENT PAS être utilisées sur les serveurs et les postes de travail de production où
une disponibilité et une stabilité maximales sont requises.
• La mise à jour différée permet une mise à jour à partir de serveurs de mise à jour particuliers offrant de
nouvelles versions des bases de données de virus dans un délai d'au moins X heures (c'est-à-dire qu'ils
téléchargeront des bases de données testées dans un environnement réel, donc jugées stables).
Activer l'optimisation de la livraison des mises à jour
Lorsque ce paramètre est activés, les fichiers de mise à jour sont téléchargés à partir de CDN (réseau de diffusion
de contenu). La désactivation de ce paramètre peut entraîner des interruptions et des ralentissements de
téléchargement lorsque les serveurs de mise à jour ESET dédiés sont surchargés. La désactivation est utile
lorsqu’un pare-feu est limité à l’accès aux adresses IP du serveur de mise à jour ESET uniquement ou qu’une
connexion aux services CDN ne fonctionne pas.
Demander avant de télécharger une mise à jour
Lorsqu'une nouvelle mise à jour est disponible, vous êtes invité à la télécharger.
Demander si un fichier de mise à jour a une taille supérieure à (ko)
Si la taille du fichier de mise à jour est supérieure à la valeur indiquée dans ce champ, une notification s'affiche.
Mises à jour des modules
Par défaut, le module de mise à jour est défini sur Choisir automatiquement. Le serveur de mise à jour est
l'endroit où sont stockées les mises à jour. Si vous utilisez un serveur ESET, nous vous recommandons de
conserver l'option sélectionnée par défaut.
Si un serveur local HTTP est utilisé - aussi appelé Miroir - le serveur de mise à jour doit être configuré comme
suit :
http://computer_name_or_its_IP_address:2221
Lorsqu'un serveur local HTTP avec SSL est utilisé - le serveur de mise à jour doit être configuré comme suit :
https://computer_name_or_its_IP_address:2221
Lorsqu'un dossier partagé local est utilisé - le serveur de mise à jour doit être configuré comme suit :
\\computer_name_or_its_IP_address\shared_folder
Activer une mise à jour plus fréquente des signatures de détection
Le moteur de détection est mis à jour dans un intervalle plus court. La désactivation de cette option peut avoir
une incidence négative sur le taux de détection.
Autoriser la mise à jour du module à partir du périphérique amovible
Permet une mise à jour à partir d'un support amovible s'il contient le miroir créé. Lorsque Automatique est
sélectionné, la mise à jour s'exécutera à l'arrière-plan. Si vous voulez afficher les boîtes de dialogue de mise à jour,
sélectionnez Toujours demander.
Mises à jour du produit
La suspension des mises à jour automatiques pour des profils de mise à jour spécifiques désactive
temporairement les mises à jour automatiques du produit, par exemple lorsque vous êtes connecté à Internet en
utilisant d'autres réseaux ou des connexions limitées. Maintenez ce paramètre activé pour bénéficier d'un accès
permanent aux dernières fonctionnalités et de la meilleure protection possible.
Dans certains cas, un redémarrage du serveur peut être nécessaire pour que les mises à jour aient lieu.
Option de connexion
211
Serveur mandataire
Pour accéder aux options de configuration du serveur mandataire pour un profil de mise à jour donné. Cliquez sur
Mode mandataire et sélectionnez l'une des trois options suivantes :
• Ne pas utiliser de serveur mandataire : Aucun serveur mandataire ne sera utilisé pour mettre à jour ESET Mail
Security.
• L'option Utiliser les paramètres de serveur mandataire généraux utilisera la configuration de serveur
mandataire indiquée dans Configuration avancée (F5) > Outils > Serveur mandataire.
• Connexion par serveur mandataire : Utilisez cette option si :
Un serveur mandataire devrait être utilisé pour effectuer la mise à jour de ESET Mail Security, un serveur
différent du serveur mandataire indiqué dans les paramètres globaux (Outils > Serveur mandataire). Le cas
échéant, les paramètres devraient être indiqués ici : Adresse du serveur mandataire, Port de communication
(3128, par défaut), Nom d'utilisateur et Mot de passe pour le serveur mandataire, au besoin.
Les paramètres du serveur mandataire n'ont pas été définis globalement, mais ESET Mail Security se connectera
à un serveur mandataire pour les mises à jour.
Votre ordinateur est connecté à Internet par un serveur mandataire. Les paramètres utilisés sont ceux d'Internet
Explorer, pris au moment de l'installation du programme, mais s'ils sont ensuite modifiés (par exemple, si vous
changez de FAI), vous devez vous assurer que les paramètres du serveur HTTP mandataire indiqués dans cette
fenêtre sont appropriés. En l'absence de modification, le programme ne pourra pas se connecter aux serveurs de
mise à jour.
Les données d'authentification, comme le Nom d'utilisateur et le Mot de passe, sont conçues pour accéder
au serveur mandataire. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont
requis. Veuillez noter que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur de ESET Mail
Security et ne doivent être indiqués que si vous savez que vous avez besoin d'un mot de passe pour
accéder à Internet par l'entremise d'un serveur mandataire.
Utiliser une connexion directe si le mandataire n'est pas disponible
Si un produit est configuré pour utiliser le mandataire HTTP et que ce dernier n'est pas joignable, le produit
contournera le mandataire et communiquera directement avec les serveurs d'ESET.
Partages Windows
Lors de la mise à jour depuis un serveur local sous Windows, une authentification est exigée par défaut pour
chaque connexion réseau.
Se connecter au réseau local comme
Pour configurer votre compte, sélectionnez l'une des options suivantes :
• Compte système (par défaut) - utiliser le compte système pour l'authentification. Normalement, aucune
authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de
configuration des mises à jour.
• Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à l'aide du
compte de l'utilisateur actuellement connecté. L'inconvénient de cette solution est que le programme est dans
l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté.
• Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut n'a
pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des fichiers de
mise à jour du serveur local. Dans le cas contraire, le programme sera incapable d'établir une connexion ou de
télécharger les mises à jour.
Si l'option Utilisateur actuel ou Spécifier un utilisateur est sélectionnée, une erreur peut se produire si
l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données
d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les
données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de
travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur
local n'exige aucune authentification.
Déconnecter du serveur après la mise à jour
Pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des mises à
Miroir de mise à jour
jour.
212
Les options de configuration du serveur miroir local se trouvent dans l'arborescence Configuration avancée (F5)
sous l'onglet Mise à jour > Profils > Miroir de mise à jour.
Annulation de la mise à jour
Si vous pensez qu’une nouvelle mise à jour du moteur de détection ou des modules du programme peut être
instable ou corrompue, vous pouvez revenir à la version précédente et désactiver temporairement les mises à
jour. Vous pouvez également activer les mises à jour précédemment désactivées si vous les avez reportées pour
une durée indéterminée.
ESET Mail Security enregistre les instantanés du moteur de détection et des modules du programme en vue de
leur utilisation avec la fonctionnalité de récupération. Pour créer des instantanés de la base de données virale,
gardez l'option Créer des instantanés de modules activée.
Lorsque l'option Créer des instantanés de modules est activée, le premier instantané est créé lors de la première
mise à jour. Le prochain est créé après 48 heures.
Le nombre d’instantanés stockés localement définit le nombre d’instantanés du moteur de détection stockés.
Lorsque le nombre maximal d’instantanés est atteint (trois, par exemple), l’instantané le plus ancien est
remplacé par un nouvel instantané toutes les 48 heures. ESET Mail Security restaure le moteur de
détection et les versions de mise à jour des modules du programme en utilisant l’instantané le plus ancien.
Si vous cliquez sur Annuler, vous devez sélectionner un intervalle dans le menu déroulant représentant la durée
pendant laquelle les mises à jour de la base de données du moteur de détection et des modules du programme
seront suspendues.
213
Sélectionnez Jusqu'à son retrait pour reporter indéfiniment les mises à jour régulières jusqu'à ce que vous
restauriez manuellement cette fonctionnalité. Comme cela représente un risque pour la sécurité, nous vous
recommandons de ne pas sélectionner cette option.
Si une restauration est effectuée, le bouton Restaurer change et devient Autoriser les mises à jour. Les mises à
jour ne sont pas autorisées pendant l’intervalle sélectionné dans le menu déroulant Suspendre les mises à jour.
La version de la base de données du moteur de détection sera rétablie à la plus ancienne image disponible et
stockée comme image dans le système de fichiers de l'ordinateur local.
Tâche planifiée : mise à jour
Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer deux profils de mise à
jour distincts. Si le premier ne permet pas de télécharger les fichiers de mise à jour, le programme bascule
automatiquement vers le second. Cela convient, par exemple, pour les ordinateurs portables dont la mise à jour
s'effectue normalement à partir d'un serveur de mise à jour sur le réseau local, mais dont les propriétaires se
connectent souvent à Internet à partir d'autres réseaux. Ainsi, en cas d'échec du premier profil, le second
télécharge automatiquement les fichiers de mise à jour à partir des serveurs de mise à jour d'ESET.
Les étapes ci-dessous vous guideront tout au long d'une tâche permettant de modifier une mise à jour
automatique régulière existante.
1. Dans l'écran principal du Planificateur, sélectionnez la tâche Mettre à jour avec pour nom Mise à jour
automatique régulière et cliquez sur Modifier pour lancer l'assistant de configuration.
2. Configurez le planificateur; sélectionnez l'une des options de fréquence suivantes pour l'exécution de la
tâche planifiée :
3. Si vous voulez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (par exemple
sur UPS), cliquez sur le bouton situé à côté de Ignorer la tâche lors du fonctionnement sur batterie.
4. Sélectionnez Profil de mise à jour pour l'utiliser pour la mise à jour. Sélectionnez une action à
entreprendre en cas d'échec de l'exécution de la tâche pour une raison quelconque.
5. Cliquez sur Terminer pour appliquer la tâche.
Miroir de mise à jour
ESET Mail Security permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour mettre à
jour les autres stations de travail se trouvant sur le réseau. Utilisation d'un « miroir » - Puisqu'il n'est pas
nécessaire que les fichiers de mise à jour soient téléchargés à plusieurs reprises à partir du serveur de mise à jour
du fournisseur pour chacun des postes de travail, il serait pratique d'en conserver une copie dans
l'environnement du réseau local. Les mises à jour sont alors téléchargées sur le serveur miroir local puis
distribuées à toutes les stations de travail, ce qui évitera tout risque de surcharge du réseau.
La mise à jour des postes de travail à partir d'un miroir optimise l'équilibre de la charge réseau et libère les
bandes passantes des connexions Internet.
Pour minimiser le trafic Internet sur les réseaux où ESET PROTECT est utilisé pour gérer de nombreux
clients, nous vous recommandons d’utiliser ESET Bridge plutôt que de configurer un client comme miroir.
ESET Bridge peut être installé avec ESET PROTECT à l’aide du programme d’installation tout-en-un ou en
tant que composant autonome. Pour obtenir plus d’informations et connaitre les différences entre ESET
Bridge, Apache HTTP Proxy, Mirror Tool et la connectivité directe, consultez la page d’aide en ligne de ESET
PROTECT.
Miroir de mise à jour
214
Créer un miroir de mise à jour
Active les options de configuration du miroir.
Accéder aux fichiers de mise à jour
Activer le serveur HTTP
Si cette option est activée, les fichiers de mise à jour seront accessibles par l'intermédiaire d'un serveur HTTP et
aucune donnée d'identification ne sera requise ici.
Dossier de stockage
Cliquez sur Modifier pour rechercher un dossier sur l'ordinateur local ou un dossier réseau partagé. Si une
autorisation pour le dossier indiqué est requise, les données d'authentification doivent être entrées dans les
champs Nom d'utilisateur et Mot de passe.
Cliquez sur Supprimer si vous souhaitez modifier un dossier par défaut défini pour stocker des fichiers miroir
C:\ProgramData\ESET\ESET Security\mirror.
Serveur HTTP
Port du serveur
Le port par défaut est 2221. Changez cette valeur si vous utilisez un port différent.
Authentification
Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options suivantes sont
disponibles : Aucune, Basique et NTLM.
• Sélectionnez Basique pour utiliser le chiffrage base64 avec l'authentification de base à l'aide du nom
d'utilisateur et du mot de passe.
• L'option NTLM fournit un chiffrage utilisant une méthode d'encodage fiable. L'utilisateur créé sur le poste de
travail partageant les fichiers de mise à jour sera utilisé pour l'authentification.
• L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification.
L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le même
ordinateur que l'instance de ESET Mail Security qui l'a créé.
SSL pour serveur HTTP
Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat autosigné si vous voulez utiliser un
serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : PEM, PFX et ASN. Pour
plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est presque
impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole est
utilisé.
L'option Type de clé privée est mise à Intégré par défaut (le Fichier de clé privée est donc désactivé par défaut).
Cela signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné.
Option de connexion
215
Partages Windows
Lors de la mise à jour depuis un serveur local sous Windows, une authentification est exigée par défaut pour
chaque connexion réseau.
Se connecter au réseau local comme
Pour configurer votre compte, sélectionnez l'une des options suivantes :
• Compte système (par défaut) - utiliser le compte système pour l'authentification. Normalement, aucune
authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de
configuration des mises à jour.
• Utilisateur actuel.- sélectionner cette option pour s'assurer que le programme s'authentifie à l'aide du compte
de l'utilisateur actuellement connecté. L'inconvénient de cette solution est que le programme est dans
l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté.
• Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut n'a
pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des fichiers de
mise à jour du serveur local. Dans le cas contraire, le programme sera incapable d'établir une connexion et de
télécharger les mises à jour.
Si l'option Utilisateur actuel ou Spécifier un utilisateur est sélectionnée, une erreur peut se produire si
l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données
d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les
données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de
travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur
local n'exige aucune authentification.
Déconnecter du serveur après la mise à jour
Pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des mises à
jour.
Protection du réseau
Pour gérer la protection du réseau, cliquez sur Modifier pour en ajouter une nouvelle ou modifier celle existante :
• Réseaux connus
• Zones
Réseaux connus
Lorsque vous utilisez un ordinateur qui se connecte fréquemment à des réseaux publics ou à des réseaux en
dehors de votre réseau de travail normal, nous vous recommandons de vérifier la crédibilité des nouveaux
réseaux auxquels vous vous connectez. Une fois les réseaux définis, ESET Mail Security peut reconnaître les
réseaux fiables (domicile/bureau) à l’aide de divers paramètres de réseau configurés dans le paramètre
Identification de réseau.
Les ordinateurs accèdent souvent aux réseaux avec des adresses IP similaires celles des réseaux de confiance.
Dans de tels cas, ESET Mail Security peut considérer un réseau inconnu comme réseau fiable (domicile/bureau).
Nous vous recommandons d’utiliser le paramètre Authentification de réseau pour éviter ce type de situation.
Lorsqu'une carte réseau est connectée à un réseau ou que ses paramètres réseau sont reconfigurés, ESET Mail
Security recherche dans la liste des réseaux connus un enregistrement correspondant au nouveau réseau. Si
l'identification du réseau et l'authentification du réseau (facultatif) sont identiques, le réseau est marqué comme
étant connecté dans cette interface.
216
Lorsqu'aucun réseau connu n'est trouvé, la configuration de l'identification du réseau crée une nouvelle
connexion réseau permettant d'identifier le réseau la prochaine fois que vous vous y connecterez. Par défaut, la
nouvelle connexion réseau utilise le type de protection réseau Public.
La fenêtre de dialogue Nouvelle connexion réseau détectée vous invite à choisir entre le type de protection
Réseau public, Réseau domestique ou professionnel ou Utiliser le paramètre Windows. Si une carte réseau est
connectée à un réseau connu et que ce réseau est marqué comme réseau domestique ou de bureau, les sousréseaux locaux de la carte seront ajoutés à la zone de confiance.
Type de protection des nouveaux réseaux
Sélectionnez parmi les options suivantes celle qui est utilisée par défaut pour les nouveaux réseaux : Utiliser les
paramètres Windows, Demander à l’utilisateur ou Marquer comme Public. Lorsque vous sélectionnez Utiliser
les paramètres Windows, aucune boîte de dialogue n’apparaît et le réseau auquel vous êtes connecté est
automatiquement marqué en fonction de vos paramètres Windows. Cela rendra certaines fonctionnalités (par
exemple le partage de fichiers et le Bureau à distance) accessibles à partir de nouveaux réseaux.
Les réseaux connus peuvent être configurés manuellement dans la fenêtre Éditeur de réseaux connus.
Ajouter un réseau
Les paramètres de configuration réseau sont organisés dans les onglets suivants :
Réseau
Vous pouvez définir le nom du réseau et sélectionner le type de protection pour le réseau. Indique si le réseau
est défini sur Réseau fiable, Réseau non fiable ou Utiliser les paramètres Windows.
En outre, les adresses ajoutées sous, Adresses de confiance supplémentaires sont toujours ajoutées à la zone de
confiance des cartes connectées à ce réseau (quel que soit le type de protection du réseau).
• Avertir les utilisateurs en cas de chiffrement de WiFi faible : ESET Mail Security vous informera lorsque
vous vous connectez à un réseau sans fil non protégé ou à un réseau avec une protection faible.
• Le profil du pare-feu sera hérité de la carte réseau.
• Profil de mise à jour : permet de sélectionner le profil de mise à jour qui sera utilisé lors de la connexion à
ce réseau.
217
Identification du réseau
Est effectué en fonction des paramètres de la carte réseau locale. Tous les paramètres sélectionnés sont
comparés aux paramètres réels des connexions réseau actives. Les adresses IPv4 et IPv6 sont autorisées.
Authentification réseau
Recherche un serveur spécifique dans le réseau et utilise le chiffrement asymétrique (RSA) pour authentifier ce
serveur. Le nom du réseau authentifié doit correspondre au nom de zone défini dans les paramètres du serveur
d’authentification. Le nom est sensible à la casse. Spécifiez un nom de serveur, un port d’écoute de serveur et une
clé publique qui correspond à la clé de serveur privé. Le nom du serveur peut être entré sous la forme d’une
adresse IP, d'un DNS ou d’un nom NetBios et peut être suivi d’un chemin d’accès spécifiant l’emplacement de la
clé sur le serveur (par exemple, server_name_/directory1/directory2/authentication). Vous pouvez spécifier
d’autres serveurs à utiliser en les ajoutant au chemin d’accès, séparés par des points-virgules.
La clé publique peut être importée à l’aide de l’un des types de fichiers suivants :
• Clé publique chiffrée PEM (.pem), cette clé peut être générée à l’aide du serveur d’authentification ESET.
• Clé publique chiffrée
• Fichier de certificat de clé publique (.crt)
218
Cliquez sur Tester pour tester vos paramètres. Si l’authentification réussit, le message Authentification du serveur
réussie sera affichée. Si l’authentification n’est pas configurée correctement, les messages d’erreur suivants
s’afficheront :
Échec de l’authentification du serveur.
Signature non valide ou incompatible.
La signature du serveur ne correspond pas à la clé publique
entrée.
Échec de l’authentification du serveur. Le nom du Désactivez ce commutateur si vous voulez que la règle reste
réseau ne correspond pas.
inscrite sur la liste, mais sans l'utiliser.
Échec de l'authentification du serveur. Réponse
incorrecte ou aucune réponse du serveur.
Aucune réponse n’est reçue si le serveur n’est pas en cours
d’exécution ou est inaccessible. Une réponse non valide peut
être reçue si un autre serveur HTTP s’exécute sur l’adresse
spécifiée.
La clé publique entrée n'est pas valide.
Vérifiez que le fichier de clé publique que vous avez entré
n’est pas endommagé.
Zones
Une zone représente un ensemble d’adresses réseau qui créent un groupe logique d’adresses IP. Elle vous permet
de réutiliser le même ensemble d’adresses dans plusieurs règles. Chaque adresse d’un groupe donné se voit
attribuer des règles similaires définies de manière centralisée pour l’ensemble du groupe. Un exemple d’un tel
groupe est une zone de confiance. Une zone de confiance représente un groupe d’adresses réseau qui ne sont en
aucun cas bloquées par le pare-feu.
Pour ajouter une zone de confiance :
1. Ouvrez Configuration avancée (F5) > Protection du réseau > De base > Zones.
2. Cliquez sur Modifier à côté de Zones.
3. Cliquez sur Ajouter, entrez le nom et la description de la nouvelle zone, puis ajoutez une adresse IP distante
dans le champ Adresse de l’ordinateur distant (IPv4/IPv6, plage, masque).
4. Cliquez sur OK.
Colonnes
• Nom : nom d’un groupe d’ordinateurs distants.
• Adresses IP : adresses IP distantes qui appartiennent à une zone.
Éléments de contrôle
Lorsque vous ajoutez ou modifiez une zone, les champs suivants sont disponibles :
• Nom : nom d’un groupe d’ordinateurs distants.
• Description : description générale du groupe.
• Adresse de l’ordinateur distant (IPv4, IPv6, plage, masque) : adresse distante, plage d’adresses ou sousréseau.
219
• Supprimer : supprime une zone de la liste.
Il n’est pas possible de supprimer les zones prédéfinies.
Protection contre les attaques réseau
Activer la protection contre les attaques réseau (IDS)
Cette option permet de configurer l'accès à certains services exécutés sur votre ordinateur à partir de la zone de
confiance et d'activer ou désactiver la détection de plusieurs types d'attaques et d'exploits qui pourraient être
utilisés pour endommager votre ordinateur.
Activer la protection contre les réseaux de zombies
Détecte et bloque la communication avec des serveurs de commande et de contrôle malveillants basés sur des
modèles typiques lorsque l'ordinateur est infecté et qu'un robot tente de communiquer
Exceptions IDS
Vous pouvez voir les exceptions IDS (Intrusion Detection System) comme des règles de protection du réseau.
Cliquez sur Modifier pour définir des exceptions IDS.
Si votre environnement utilise un réseau haute vitesse (10GbE et supérieur), lisez l’article de la base de
connaissances pour plus d’informations sur les performances de vitesse du réseau et ESET Mail Security.
Protection contre les attaques par force brute
ESET Mail Security inspecte le contenu du trafic réseau et bloque les tentatives d’attaques par devinette de mot
de passe.
Options avancées
Configurez les options de filtrage avancé pour détecter les différents types d'attaques et de vulnérabilités qui
peuvent affecter votre ordinateur.
Détection d'intrusion:
Protocole SMB : Détecte et bloque divers problèmes de sécurité dans le protocole SMB
Protocole RPC : Détecte et bloque divers CVE dans le système d'appel de procédure distant développé pour
l'environnement DCE (Distributed Computing Environment).
Protocole RDP : Détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).
Bloquer l'adresse non sécurisée après la détection d'une attaque : Les adresses IP qui ont été détectées comme
sources d'attaques sont ajoutées à la liste noire pour empêcher la connexion pendant une certaine période de
temps.
Afficher une notification après la détection d'une attaque : active la zone de notification de Windows dans le
coin inférieur droit de l'écran.
Afficher également les notifications pour les attaques entrantes contre les failles de sécurité : Vous avertit si des
attaques contre des failles de sécurité sont détectées ou si une menace tente d'entrer dans le système.
Contrôle des paquets:
220
Autoriser la connexion entrante aux partages administratifs du protocole SMB : Les partages administratifs
(partages admin) sont des partages réseau par défaut qui partagent les partitions du disque dur (C$, D$, ...)
dans le système avec le dossier système (ADMIN$). La désactivation de la connexion aux partages admin
devrait atténuer de nombreux risques de sécurité. Par exemple, le ver Conficker effectue des attaques par
dictionnaire afin de se connecter aux partages admin.
Refuser les anciens dialectes SMB (non pris en charge) - Refuse les sessions SMB qui utilisent un ancien dialecte
SMB non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens
dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation tels que Windows 95.
L'attaquant peut utiliser un ancien dialecte dans une session SMB afin d'éviter l'inspection du trafic. Cette option
permet de refuser les anciens dialectes SMB si votre ordinateur n'a pas besoin de partager des fichiers (ou
utiliser la communication SMB en général) avec un ordinateur ayant une ancienne version de Windows.
Refuser des sessions SMB sans sécurité étendue : La sécurité étendue peut être utilisée pendant la négociation
de la session SMB afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par
stimulation/réponse (LM) du gestionnaire de réseau local. Le schéma LM est considéré comme faible et son
utilisation n'est pas recommandée.
Autoriser les communications avec le service Security Account Manager : Pour obtenir plus de renseignements
sur ce service, consultez [MS-SAMR].
Autoriser les communications avec le service Local Security Authority : Pour obtenir plus de renseignements sur
ce service, consultez [MS-LSAD] et [MS-LSAT].
Autoriser les communications avec le service Remote Registry : Pour obtenir plus de renseignements sur ce
service, consultez [MS-RRP].
Autoriser les communications avec le service Service Control Manager : Pour obtenir plus de renseignements sur
ce service, consultez [MS-SCMR].
Autoriser les communications avec le service du serveur : Pour obtenir plus de renseignements sur ce service,
consultez [MS-SRVS].
Autoriser les communications avec les autres services : Autres services MSRPC.
Exceptions IDS
Les exceptions du système de détection d'intrusion (IDS) sont essentiellement des règles de protection du réseau.
Les exceptions sont évaluées de haut en bas. L'éditeur d'exceptions IDS vous permet de personnaliser le
comportement de la protection réseau sur différentes exceptions IDS. La première exception correspondante est
appliquée, pour chaque type d'action (Bloquer, Notifier, Journaliser) séparément. Haut/Vers le haut/Vers le
bas/Bas vous permet de régler le niveau de priorité des exceptions. Pour créer une nouvelle exception IDS,
cliquez sur Ajouter. Cliquez sur Modifier pour modifier une exception IDS existante ou sur Supprimer pour la
supprimer.
Choisissez le type Alerte dans la liste déroulante. Indiquez le nom de la menace et la direction. Recherchez
l'application pour laquelle vous souhaitez créer une exception. Spécifiez une liste d'adresses IP (IPv4 ou IPv6) ou
de sous-réseaux. Pour les entrées multiples, utilisez une virgule comme séparateur.
Configurez l'action pour l'exception IDS en sélectionnant l'une des options du menu déroulant (valeur par défaut,
Oui, Non). Faites cela pour chaque type d'action (Bloquer, Notifier, Journaliser).
Si vous souhaitez qu'une notification soit affichée en cas d'alerte d'exception IDS et que l'heure de
l'événement soit enregistrée, utilisez comme valeur par défaut le type d'action Bloquer, et pour les deux
autres types d'action (Notifier, Journaliser) choisissez Oui dans le menu déroulant.
221
Menace suspect bloqué
Cette situation peut se produire lorsqu’une application sur votre ordinateur tente de transmettre du trafic
malveillant à un autre ordinateur du réseau, d’exploiter une faille de sécurité ou si quelqu’un tente de balayer les
ports de votre réseau.
• Menace – Nom de la menace.
• Source – Adresse réseau source.
• Cible – Adresse réseau cible.
• Arrêter le blocage – Crée une règle IDS pour la menace suspectée avec des paramètres pour autoriser la
communication.
• Conserver le blocage – Bloque la menace détectée. Pour créer une règle IDS avec des paramètres pour
bloquer la communication pour cette menace, sélectionnez Ne plus m'envoyer de notification.
Les informations affichées dans cette fenêtre de notification peuvent varier en fonction du type de menace
détecté. Pour plus d’informations sur les menaces et d’autres termes connexes, consultez les rubriques
Types d’attaques à distance ou Types de détections .
Liste noire temporaire des adresses IP
Permet d'afficher une liste des adresses IP ayant été détectées comme des sources d'attaque et ajoutées à la liste
noire pour éviter toute connexion pendant un certain temps (jusqu'à une heure). Affiche l'adresse IP qui a été
verrouillée.
Raison du blocage
Indique le type d'attaque qui a été bloquée à l'adresse (par exemple, attaque de balayage de Port TCP).
Délai d'attente
Affiche l'heure et la date à laquelle l'adresse expirera de la liste noire.
Retirer/Tout retirer
Retire l'adresse IP sélectionnée de la liste noire temporaire avant son expiration ou retire toutes les adresses de la
liste noire immédiatement.
Ajouter une exception
Ajoute une exception de pare-feu dans le filtrage IDS pour l'adresse IP sélectionnée.
Protection contre les attaques par force brute
La protection contre les attaques par force brute bloque les attaques par devinette de mot de passe pour les
services RDP et SMB. Une attaque par force brute est une méthode permettant de deviner un mot de passe ciblée
en essayant systématiquement toutes les combinaisons possibles de lettres, de chiffres et de symboles.
222
• Activer la protection contre les attaques par force brute : ESET Mail Security inspecte le contenu du trafic
réseau et bloque les tentatives d’attaques par devinette du mot de passe.
• Règles : permet de créer, de modifier et d’afficher des règles pour les connexions réseau entrantes et
sortantes.
• Exclusions – Liste des détections exclues définies par une adresse IP ou un chemin d’accès d’application.
Vous pouvez créer et modifier des exclusions dans votre ESET PROTECT Web Console.
Règles de Protection contre les attaques par force
brute
Les règles de protection contre les attaques par force brute vous permettent de créer, de modifier et d’afficher
des règles pour les connexions réseau entrantes et sortantes. Les règles prédéfinies ne peuvent être ni modifiées
ni supprimées.
Pour créer une nouvelle règle, cliquez sur Ajouter pour une nouvelle règle de protection contre les attaques par
force brute ou Modifier pour les entrées sélectionnées.
Cette fenêtre vous donne un aperçu des règles de protection contre les attaques par force brute existantes.
Nom
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Activé(e)
Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais
sans l'utiliser.
Action
La règle précise une action (Autoriser ou Refuser) qui doit être effectuée lorsque les
conditions sont satisfaites.
Protocole
Il s'agit du protocole de communication que cette règle examinera.
Profil
Des règles personnalisées peuvent être définies et appliquées pour des profils
particuliers.
Maximum de
tentatives
Le nombre maximal de tentatives d’attaque avant que l’adresse IP ne soit bloquée et
ajoutée à la liste noire.
Période de
Définit le délai d'expiration de l'adresse de la liste noire. La période par défaut pour
conservation de la liste compter le nombre de tentatives est de 30 minutes.
noire (min)
IP source
Il s'agit d'une liste d’adresses IP, de plages ou de sous-réseaux. Les adresses multiples
doivent être séparées par une virgule.
Zones sources
Vous permet d’ajouter une zone prédéfinie ou créée avec une plage d’adresses IP ici en
cliquant sur Ajouter.
Exclusions de la protection contre les attaques par
force brute
Les exclusions de la protection contre les attaques par force brute peuvent être utilisées pour supprimer la
détection des attaques par force brute pour des critères spécifiques. Ces exclusions sont créées à partir d’ESET
PROTECT basé sur la détection des attaques par force brute. Les exclusions s’afficheront si un administrateur crée
des exclusions d'attaque par force brute dans ESET PROTECT Web Console . Les exclusions peuvent contenir
uniquement des règles d’autorisation et sont évaluées avant les règles d’IDS.
223
• Détection – Type de la détection
• Application : sélectionnez le chemin d’accès au fichier d’une application exclue en cliquant sur... (par
exemple C:\Program Files\Firefox\Firefox.exe). Ne tapez pas le nom de l’application.
• IP distant : une liste d’adresses/plages/sous-réseaux IPv4 ou IPv6 distants. Plusieurs adresses doivent être
séparées par une virgule.
Web et messagerie
Vous pouvez configurer le filtrage de protocole, la protection du client de messagerie, la protection de l'accès
Web et l'antihameçonnage pour protéger votre serveur lors des communications Internet.
Protection du client de messagerie
La protection du client de messagerie contrôle toute la communication par courriel, protège contre le code
malveillant et vous permet de choisir l'action à prendre lorsqu'une infection est détectée.
Protection de l'accès Web
La Protection de l'accès Web surveille les communications entre les navigateurs Web et les serveurs distants,
conformément aux règles des protocoles HTTP et HTTPS. Cette fonctionnalité vous permet également de bloquer,
d'autoriser ou d'exclure certaines adresses URL.
Filtrage des protocoles
Offre une protection évoluée pour les protocoles d'application et est fourni par le moteur d'analyse ThreatSense.
Il fonctionne automatiquement, indépendamment du navigateur Web ou du client de messagerie utilisé. Il
fonctionne aussi pour les communications chiffrées (SSL/TLS).
Protection anti-hameçonnage
La Protection antihameçonnage vous permet de bloquer les pages Web connues pour diffuser du contenu
d'hameçonnage.
Filtrage des protocoles
La protection contre les logiciels malveillants pour les protocoles d'application est fournie par le moteur d'analyse
ThreatSense qui intègre plusieurs techniques d'analyse avancée des logiciels malveillants. Le filtrage des
protocoles fonctionne automatiquement, indépendamment du navigateur Internet ou du client de courriel utilisé.
Si le filtrage du protocole est activé, ESET Mail Security vérifiera les communications qui utilisent le protocole
SSL/TLS, accédez à Web et messagerie > SSL/TLS.
Activer le filtrage du contenu des protocoles d'application
Si vous désactivez le filtrage de protocole, veuillez noter que beaucoup de composants de ESET Mail Security
(protection de l'accès Web, protection des protocoles de courriels et protection antihameçonnage) dépendent de
cette option pour fonctionner et que toutes leurs fonctionnalités ne seront pas disponibles.
Applications exclues
224
Pour exclure du filtrage de contenu les communications envoyées par certaines applications sensibles au réseau,
vous devez le sélectionner dans la liste. Les communications envoyées par ces applications par l'entremise des
protocoles HTTP ou POP3 ne seront pas vérifiées pour savoir si elles contiennent des menaces. Permet d'exclure
des applications spécifiques du filtrage de protocole. Cliquez sur Modifier et Ajouter pour sélectionner un
exécutable dans la liste des applications afin de l'exclure du filtrage de protocole.
Il est recommandé de n'utiliser cette option que pour les applications qui ne fonctionnent pas bien lorsque
la communication fait l'objet d'une vérification.
Adresses IP exclues
Vous permet d'exclure des adresses distantes spécifiques du filtrage de protocole. Les adresses IP dans cette liste
seront exclues du filtrage du contenu des protocoles. Les communications envoyées à ces adresses ou reçues de
celles-ci par le protocole HTTP/POP3/IMAP ne seront pas vérifiées pour savoir si elles contiennent des menaces.
Il est recommandé de n'utiliser cette option que pour les adresses reconnues comme fiables.
Cliquez sur Modifier et Ajouter pour spécifier l'adresse IP, la plage d'adresses ou le sous-réseau auquel l'exclusion
sera appliquée. Lorsque vous sélectionnez Entrer plusieurs valeurs, vous pouvez ajouter plusieurs adresses IP
séparées par de nouvelles lignes, des virgules ou des points virgules. Lorsqu'un choix multiple est activé, les
adresses sont affichées dans la liste des adresses IP exclues.
Les exclusions sont utiles lorsque le filtrage de protocole crée des problèmes de compatibilité.
Clients Web et de messagerie
En raison du nombre considérable de programmes malveillants qui circulent sur Internet, la sécurisation de la
navigation sur Internet est un aspect très important de la protection des ordinateurs. Les faiblesses des
navigateurs Web et les liens frauduleux contribuent à faciliter l'accès inaperçu des programmes malveillants au
système. C'est pour cette raison que ESET Mail Security se concentre sur la sécurité des navigateurs Web. Chaque
application qui accède au réseau peut être indiquée comme étant un navigateur Internet. Les applications qui
utilisent déjà des protocoles de communication ou une application du chemin sélectionné peuvent être ajoutées à
la liste Web et clients de messagerie.
SSL/TLS
ESET Mail Security est capable de vérifier les menaces dans les communications qui utilisent le protocole SSL
(Secure Sockets Layer)/TLS (Transport Layer Security).
Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats
fiables, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL.
Activer le filtrage du protocole SSL/TLS
Si le filtrage au niveau du protocole est désactivé, le programme n'analyse pas les communications SSL/TLS. Le
mode de filtrage du protocole SSL (Secure Sockets Layer) / TLS (Transport Layer Security) est disponible dans les
options suivantes :
• Mode automatique - Sélectionnez cette option pour analyser toutes les communications protégées par
225
SSL/TLS à l'exception des communications protégées par des certificats exclus de la vérification. Si une
nouvelle communication utilisant un certificat signé, mais inconnu est établie, vous n'en serez pas avisé et la
communication sera automatiquement filtrée. Lorsque vous accédez à un serveur en utilisant un certificat
non fiable indiqué comme étant fiable (ajouté à la liste des certificats fiables), la communication avec le
serveur est permise et le contenu du canal de communication est filtré.
• Mode interactif - Si vous entrez un nouveau site protégé par SSL/TLS (avec un certificat inconnu), une
boîte de dialogue dans laquelle vous pouvez sélectionner une action s'affiche. Ce mode permet de créer une
liste de certificats SSL/TLS qui seront exclus de l'analyse.
• Mode de stratégie : Toutes les connexions SSL/TLS sont filtrées, à l'exception des exclusions configurées.
Liste des applications SSL/TLS filtrées
Ajoutez une application filtrée et définissez l'une des actions d'analyse. La liste des applications filtrées SSL/TLS
peut être utilisée pour personnaliser le comportement de ESET Mail Security pour des applications spécifiques et
pour mémoriser les actions choisies si le mode interactif est sélectionné dans le mode de filtrage de protocole
SSL/TLS.
Liste des certificats connus
Vous permet de personnaliser le comportement de ESET Mail Security pour des certificats SSL spécifiques. La liste
peut être consultée et gérée en cliquant sur Modifier en regard de Liste des certificats connus.
Exclure les communications avec les domaines fiables
Pour exclure la communication à l'aide de certificats de validation étendus de la vérification de protocole (banque
sur Internet).
Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2
Les communications utilisant la version antérieure du protocole SSL sont automatiquement bloquées.
Certificat racine
Pour que les communications SSL/TLS fonctionnent correctement dans vos navigateurs/clients de messagerie, il
est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs). L'option
Ajouter le certificat racine aux navigateurs connus devrait être activée.
Activez cette option pour ajouter automatiquement le certificat racine ESET aux navigateurs connus (par ex.,
Opera et Firefox). Pour les navigateurs utilisant la boutique de certification de système, le certificat sera
automatiquement ajouté (par ex., Internet Explorer).
Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails >
Copier dans un fichier..., puis importez-le manuellement dans le navigateur.
Validité du certificat
S'il est impossible de vérifier le certificat à l'aide du magasin de certificat TRCA
Dans certains cas, le certificat d'un site Web ne peut être vérifié à l'aide du magasin de certificats Autorités de
certification racines de confiance (TRCA). Cela veut dire que le certificat a été signé automatiquement par une
personne (l'administrateur d'un serveur Web ou d'une petite entreprise par exemple), et considérer ce certificat
226
comme étant un certificat fiable ne présente pas toujours un risque. Bon nombre de grandes entreprises (les
banques, par ex.) utilisent un certificat signé par le TRCA.
Si l'option Interroger sur la validité du certificat (valeur par défaut) est sélectionnée, l'utilisateur sera invité à
sélectionner une action à prendre lorsqu'une communication chiffrée est établie. Vous pouvez sélectionner
Bloquer toute communication utilisant le certificat afin de toujours mettre fin aux connexions chiffrées vers des
sites utilisant des certificats non vérifiés.
Si le certificat est non valide ou endommagé
Cela signifie qu'il est expiré ou a été signé de façon incorrecte. Dans un tel cas, il est recommandé de quitter
Bloquer la communication qui utilise le certificat sélectionné.
Liste des certificats connus
Permet de personnaliser le comportement de ESET Mail Security pour des certificats SSL (Secure Sockets Layer) /
Transport Layer Security (TLS) spécifiques et de mémoriser les actions choisies si le mode interactif est
sélectionné dans le mode de filtrage de protocole SSL/TLS. Vous pouvez configurer le certificat sélectionné ou
Ajouter un certificat à partir d'une URL ou d'un fichier.
Une fois que vous êtes dans la fenêtre Ajouter un certificat, cliquez sur le bouton URL ou Fichier et indiquez l'URL
du certificat ou recherchez un fichier de certificat. Les champs suivants seront automatiquement remplis en
utilisant les données du certificat :
• Nom du certificat : Le nom du certificat.
• Émetteur du certificat : Nom du créateur du certificat.
• Objet du certificat : Le champ Objet du certificat identifie l'entité associée à la clé publique stockée dans le
champ d'objet de clé publique.
Action d'accès
• Auto : Permet d'autoriser les certificats de confiance et demander des certificats non fiables.
• Autoriser ou Bloquer : Permet d'autoriser ou de bloquer toute communication sécurisée par ce certificat
indépendamment de sa fiabilité.
• Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
Action d'analyse
• Auto : Permet d'analyser en mode automatique et de demander en mode interactif.
• Analyser ou Ignorer : Permet d'analyser ou d'ignorer les communications sécurisées par ce certificat.
• Demander : Permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
227
Communication SSL chiffrée
Si votre système est configuré pour utiliser l'analyse du protocole SSL, une fenêtre de dialogue vous invitant à
choisir une action s'affichera dans deux situations :
Premièrement, si un site utilise un certificat invérifiable ou non valide, et que ESET Mail Security est configuré
pour demander l'avis de l'utilisateur dans de tels cas (par défaut oui pour les certificats invérifiables et non pour
les certificats non valides), une boîte de dialogue vous demandera d'autoriser ou de bloquer la connexion.
Deuxièmement, si le Mode de filtrage du protocole SSL est réglé sur le Mode interactif, une boîte de dialogue
pour chaque site vous demandera si vous voulez Analyser ou Ignorer le trafic. Certaines applications vérifient que
leur trafic SSL n'est ni modifié ni consulté par quiconque; dans de tels cas ESET Mail Security doit ignorer ce trafic
pour que l'application continue de fonctionner.
Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions sont enregistrées dans
la Liste des certificats connus.
Protection du client de messagerie
L'intégration de ESET Mail Security dans les clients de messagerie, augmente le niveau de protection active contre
le code malveillant dans les courriels. Si votre client de messagerie est pris en charge, l'intégration peut être
activée dans ESET Mail Security. Lorsque l'intégration est activée, la barre d'outils de ESET Mail Security est
insérée directement dans le client de messagerie (la barre d'outils des versions plus récentes de Windows Live
Mail n'est pas insérée), permettant une protection plus efficace des courriels.
228
Intégration des clients de messagerie
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et
Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes.
L'avantage principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de
messagerie reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Même si l'intégration n'est
pas activée, la communication par courriels est toujours protégée par le module de protection du client de
messagerie (POP3, IMAP).
Pour obtenir la liste complète des clients de messagerie pris en charge et leur version, reportez-vous à cet article
de la base de connaissances.
Désactiver la vérification au changement de contenu de la boîte courriel
Si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie (Microsoft Outlook
uniquement). Cela peut se produire au moment de récupérer un courriel du Kerio Outlook Connector Store.
Activer la protection courriel par les modules d'extension des clients
Vous permet de désactiver la protection du client de messagerie sans supprimer l'intégration dans votre client de
messagerie. Vous pouvez désactiver tous les plugiciels à la fois, ou désactiver sélectivement les éléments
suivants :
• Message reçu - Active ou désactive la vérification des messages reçus.
• Message envoyé - Active ou désactive la vérification des messages envoyés.
• Message lu - Active ou désactive la vérification des messages lus.
Action à effectuer sur les courriels infectés
• Aucune action - Si cette option est activée, le programme identifiera les fichiers joints infectés, les laissera
les courriels tels quels et n'effectuera aucune action.
• Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et supprime le
message.
• Déplacer le message vers le dossier Éléments supprimés - Les courriels infectés seront automatiquement
déplacés vers le dossier Éléments supprimés.
• Déplacer le courriel vers le dossier - Les courriels infectés seront automatiquement déplacés vers le
dossier indiqué.
• Dossier - Indiquez le dossier personnalisé dans lequel vous voulez placer les courriels infectés lorsqu'ils
sont détectés.
Répéter l'analyse après la mise à jour
Active/désactive la nouvelle analyse après la mise à jour du moteur de détection.
Accepter les résultats d'analyse des autres modules
Si cette option est activée, le module de protection des courriels accepte les résultats d'analyse des autres
modules de protection (analyse des protocoles POP3, IMAP).
229
Protocoles de messagerie
Activer la protection courriel par filtrage de protocole
Les protocoles IMAP et POP3 sont les protocoles les plus utilisés pour recevoir une communication par courriel
dans une application client de messagerie. ESET Mail Security fournit une protection pour ces protocoles
indépendamment du client de messagerie utilisé.
ESET Mail Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent un canal
chiffré pour transférer des données entre un serveur et un client. ESET Mail Security vérifie les communications
utilisant les protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera
uniquement le trafic sur les ports définis dans Ports utilisés par le protocole IMAP/POP3, indépendamment de la
version du système d'exploitation.
Configuration de l'analyseur IMAPS/POP3S
Les communications chiffrées ne seront pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer
l'analyse de la communication chiffrée, accédez à Vérification du protocole SSL/TLS.
Le numéro de port identifie le type de port dont il s'agit. Voici les ports de courriels par défaut pour :
Nom du port
Numéros de
port
Description
Protocole POP3
110
Port non chiffré POP3 par défaut.
IMAP
143
Port non chiffré IMAP par défaut.
IMAP sécurisé (IMAP4-SSL) 585
Activer le filtrage du protocole SSL/TLS. Les numéros de ports
multiples doivent être séparés par des virgules.
IMAP4 sur SSL (IMAPS)
993
Activer le filtrage du protocole SSL/TLS. Les numéros de ports
multiples doivent être séparés par des virgules.
POP3 sécurisé (SSL-POP)
995
Activer le filtrage du protocole SSL/TLS. Les numéros de ports
multiples doivent être séparés par des virgules.
Notifications de courriel
La protection de la messagerie offre le contrôle de la communication par courriel effectuée par l'entremise des
protocoles POP3 et IMAP. À l'aide du plugiciel pour Microsoft Outlook et d'autres clients de messagerie, ESET Mail
Security assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP,
HTTP).
Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancée offertes par
le moteur d'analyse ThreatSense. Cela signifie que la détection des programmes malveillants a lieu avant même
que s'effectue la comparaison avec la base de données de détection de virus. L'analyse des communications par
l'entremise des protocoles POP3 et IMAP est indépendante du client de messagerie utilisé.
Après la vérification d'un courriel, une notification avec le résultat de l'analyse peut être ajoutée au message.
Vous pouvez sélectionner Ajouter des étiquettes de message aux courriels reçus et lus ou Ajouter des étiquettes
de message aux courriels envoyés.
Sachez cependant qu'en de rares occasions, les étiquettes de message peuvent être omises dans des messages
HTML problématiques ou si le message a été falsifié par des logiciels malveillants. Les étiquettes peuvent être
230
ajoutées aux courriels reçus et lus, aux courriels envoyés ou les deux.
Les options disponibles sont les suivantes :
• Jamais - Aucune étiquette de message ne sera ajoutée.
• Lorsqu'une détection se produit : Seuls les messages contenant des logiciels malveillants seront marqués
comme vérifiés (par défaut).
• Tous les courriels analysées : Le programme ajoutera des messages à tout courriel analysé.
Texte à ajouter à l'objet du courriel détecté
Modifier ce modèle si vous voulez modifier le format du préfixe d'objet d'un courriel infecté. Cette fonction
remplacera l’objet du message Hello par le format suivant : « [detection %DETECTIONNAME%] Bonjour.
La variable %DETECTIONNAME% représente la détection.
Barre d'outils de Microsoft Outlook
La protection de Microsoft Outlook fonctionne comme un plugiciel. Une fois ESET Mail Security installé, cette
barre d'outils contenant les options du module de protection contre les logiciels malveillants est ajoutée à
Microsoft Outlook :
ESET Mail Security
Cliquez sur l’icône pour ouvrir la fenêtre principale du programme ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les messages à analyser et activer la
nouvelle analyse des messages reçus. Pour plus d'information, voir Protection du client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Barre d'outils Outlook Express et Windows Mail
La protection pour Outlook Express et Windows Mail fonctionne comme un plugiciel. Une fois ESET Mail Security
installé, cette barre d'outils contenant les options du module de protection contre les logiciels malveillants est
ajoutée à Outlook Express ou à Windows Mail :
ESET Mail Security
Cliquez sur l’icône pour ouvrir la fenêtre principale du programme ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les messages à analyser et activer la
nouvelle analyse des messages reçus. Pour plus d'information, voir Protection du client de messagerie.
231
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Personnaliser l'apparence
Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie. Désactivez cette option
pour personnaliser l'apparence indépendamment des paramètres du programme de messagerie.
• Afficher le texte - Affiche les descriptions des icônes.
• Texte à droite - Les descriptions des options sont déplacées du bas vers le côté droit des icônes.
• Grandes icônes - Affiche des icônes de plus grande taille pour les options de menu.
Boîte de dialogue de confirmation
Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce qui devrait
éliminer des erreurs possibles. La boîte de dialogue offre également la possibilité de désactiver les confirmations.
Analyser à nouveau les messages
La barre d'outils de ESET Mail Security intégrée dans les clients de messagerie permet aux utilisateurs de préciser
plusieurs options pour la vérification du courriel. L'option Analyser à nouveau les messages offre deux modes
d'analyse :
• Tous les messages du dossier en cours - Analyse les messages dans le dossier actuellement affiché.
• Messages sélectionnés uniquement - Analyse uniquement les messages marqués par l'utilisateur.
• Réanalyser les messages déjà analysés - Offre à l'utilisateur une option permettant d'effectuer une autre
analyse sur les messages ayant déjà été analysés.
Protection de l'accès Web
La protection de l'accès Web utilise la surveillance des communications entre les navigateurs Internet et des
serveurs distants afin de vous protéger contre les menaces en ligne, conformément aux règles des protocoles
HTTP et HTTPS (communications chiffrées).
L'accès aux pages Web contenant des programmes malveillants est bloqué avant que le contenu ne soit
téléchargé. Toutes les autres pages Web sont analysées par le moteur ThreatSense lorsqu'elles sont chargées et
bloquées en cas de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de
protection : le blocage selon la liste noire et le blocage selon le contenu.
De base
232
Il est fortement recommandé de garder la protection de l'accès Web activée. Vous pouvez aussi accéder à cette
option à partir de la fenêtre principale de ESET Mail Security. Allez à Configuration > Web et messagerie >
Protection de l'accès Web.
Activer l'analyse avancée des scripts du navigateur
Par défaut, tous les programmes JavaScript exécutés par les navigateurs Web seront vérifiés par le moteur de
détection.
Protocoles Web
Vous permet de configurer la surveillance pour ces protocoles standard qui sont utilisés par la plupart des
navigateurs Internet. Par défaut, ESET Mail Security est configuré pour surveiller le protocole HTTP utilisé par la
plupart des navigateurs Internet.
ESET Mail Security prend en charge le contrôle de protocole HTTPS. La communication HTTPS utilise un canal
chiffré pour transférer des données entre un serveur et un client. ESET Mail Security vérifie les communications à
l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme
analyse uniquement le trafic sur les ports définis dans Ports utilisés par le protocole HTTPS, indépendamment de
la version du système d'exploitation.
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer
l'analyse des communications chiffrées, allez à Configuration avancée (F5) > Web et messagerie > SSL/TLS.
paramètres ThreatSense
Permet de configurer des paramètres tels que les types d'analyse (courriels, archives, exclusions, limites, etc.) et
les méthodes de détection pour la protection d'accès Web.
Gestion d'adresses URL
La gestion des adresses URL vous permet d'indiquer les adresses HTTP à bloquer, à autoriser ou à exclure de la
vérification. Les sites Web de la liste des adresses bloquées ne seront pas accessibles, sauf s'ils sont également
inclus dans la liste des adresses autorisées. Les sites Web de la liste des adresses exclues de la vérification ne sont
pas analysés à la recherche de programmes malveillants lorsqu'un utilisateur y accède. Filtrage au niveau du
protocole SSL/TLS doit être activé si vous voulez filtrer les adresses HTTPS en plus des pages Web HTTP. Sinon,
seuls les domaines des sites HTTPS que vous avez visités seront ajoutés, l'URL complète ne le sera pas.
Une liste des adresses bloquées peut contenir des adresses d'une liste noire publique externe quelconque et une
seconde peut contenir votre propre liste noire, ce qui rend plus facile la mise à jour de la liste externe tout en
gardant la vôtre intact.
Cliquez sur Modifier et Ajouter pour créer une nouvelle liste d'adresses en plus de celles prédéfinies. Cette option
peut être utile si vous souhaitez séparer logiquement différents groupes d'adresses. Par défaut, les trois listes
suivantes sont disponibles :
• Liste des adresses exclues de la vérification - Aucune vérification de la présence de programmes
malveillants n'est effectuée pour les adresses indiquées dans la liste.
• Liste des adresses autorisées - Si l'option Autoriser l'accès aux adresses HTTP seulement figurant dans la
liste des adresses autorisées est activée et que la liste des adresses bloquées contient * (correspond à tout),
l'utilisateur n'est autorisé à accéder qu'aux adresses indiquées dans cette liste. Les adresses de cette liste
sont autorisées même si elle sont incluses dans la liste des adresses bloquées.
• Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses indiquées dans cette
liste.
233
Vous pouvez Ajouter une nouvelle adresse URL dans la liste. Vous pouvez également entrer plusieurs valeurs avec
un séparateur. Cliquez sur Modifier pour modifier une adresse existante dans la liste, ou Supprimer pour la
supprimer. La suppression n'est possible que pour les adresses créées avec Ajouter, et non celles qui ont été
importées.
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation)
peuvent être utilisés. L'astérisque représente un nombre ou un caractère, tandis que le point d'interrogation
représente un caractère quelconque. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la
liste ne doit contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les
symboles * et ? dans cette liste.
Si vous voulez bloquer toutes les adresses HTTP à l'exception des adresses indiquées dans la Liste des
adresses autorisées, ajoutez * à la Liste des adresses bloquées active.
Créer une liste
La liste inclut les adresses URL ou les masques de domaine désirés qui seront bloqués, autorisés ou exclus de la
vérification. Lors de la création d'une nouvelle liste, vous devez spécifier les éléments suivants :
• Type de liste d'adresses - Choisissez le type (Exclus de la vérification, Bloqués ou Autorisés) dans la liste
déroulante.
• Nom de la liste - Précisez le nom de la liste. Ce champ sera grisé lors de la modification de l'une des trois
listes prédéfinies.
• Description de la liste - Entrez une brève description de la liste (facultatif). Sera grisé lors de la
modification de l'une des trois listes prédéfinies.
• Liste active - utilisez le commutateur pour désactiver la liste. Vous pouvez l'activer plus tard si nécessaire.
234
• Notifier lors de la demande : Si vous voulez être informé lorsqu'une liste en particulier est utilisée dans
l'évaluation d'un site HTTP ou HTTPS que vous avez visité, sélectionnez cette option. Une notification sera
émise si un site est bloqué ou autorisé parce qu'il est inclus dans la liste des adresses bloquées ou
autorisées. La notification contient le nom de la liste contenant le site spécifié.
• Journalisation de la gravité : Choisissez la gravité de l'entrée du journal (Aucune, Diagnostic, Informations
ou Avertissement) dans la liste déroulante. Les enregistrements avec la verbosité Avertissement peuvent
être collectés par ESET PROTECT.
ESET Mail Security permet à l'utilisateur de bloquer l'accès à des sites Web particuliers et d'empêcher le
navigateur Internet d'en afficher le contenu. Qui plus est, il permet à l'utilisateur de préciser des adresses à
exclure de la vérification. Si l'utilisateur ignore le nom complet du serveur distant ou s'il souhaite préciser un
groupe de serveurs distants, il peut aussi utiliser des « masques ».
Ces masques peuvent contenir les symboles « ? » et « * » :
• utiliser ? pour représenter un caractère quelconque
• utiliser * pour représenter une chaîne de caractères
Ainsi, *.c?m désigne toutes les adresses dont la dernière partie commence par la lettre c et se termine par
la lettre m, avec un caractère inconnu entre les deux (.com, .cam, etc.).
Une séquence de « * » est traitée spécialement lorsqu'elle est utilisée au début d'un nom de domaine. D'abord, le
caractère générique * ne correspond pas au caractère barre oblique (/) dans ce cas. Cela permet d'éviter le
contournement du masque, par exemple le masque *.domain.com ne correspondra pas à
https://anydomain.com/anypath#.domain.com (un tel suffixe peut être ajouté à n'importe quelle URL sans
incidence sur le téléchargement). Ensuite, le * correspond également à une chaîne vide dans ce cas spécial. Cela
permet de faire correspondre le domaine entier, y compris tous les sous-domaines en utilisant un seul masque.
Par exemple le masque *.domain.com correspond aussi à https://domain.com. L'utilisation de *domain.com
serait incorrect, puisqu'il correspondrait aussi à https://anotherdomain.com.
Entrez plusieurs valeurs
Vous pouvez ajouter plusieurs adresses URL séparées par de nouvelles lignes, des virgules ou des points virgules.
Lorsqu'un choix multiple est activé, les adresses sont affichées dans la liste.
Importer
235
Importe un fichier texte avec des adresses URL (valeurs séparées avec un saut de ligne, par exemple *.txt en
utilisant l'encodage UTF-8).
Protection Web antihameçonnage
Le terme hameçonnage désigne une activité frauduleuse qui utilise le piratage psychologique (manipuler les
utilisateurs pour obtenir des données confidentielles). L'hameçonnage est souvent utilisé pour accéder à des
données sensibles, telles que les numéros de comptes bancaires, les NIP, etc.
ESET Mail Security contient une protection antihameçonnage qui bloque les pages Web qui ont la réputation de
distribuer ce type de contenu. Nous vous recommandons fortement d'activer l'antihameçonnage dans ESET Mail
Security. Consultez l'article de notre base de connaissances à ce sujet pour plus de renseignements sur la
protection antihameçonnage de ESET Mail Security.
Lorsque vous accéderez à un site Web reconnu pour pratiquer le hameçonnage, la boîte de dialogue suivante
s'affichera dans votre navigateur Web. Si vous voulez quand même accéder au site, cliquez sur Ignorer la menace
(non recommandé).
236
Les sites Web hameçons potentiels qui ont été ajoutés à la liste blanche expireront par défaut plusieurs
heures après l'ajout. Pour autoriser un site de façon permanente, utilisez l'outil Gestion des adresses URL.
Signaler un site d'hameçonnage
Si vous rencontrez un site Web suspect qui semble être un site Web hameçon ou malveillant, vous pouvez le
signaler à ESET pour analyse. Avant d'envoyer un site Web à ESET, assurez-vous qu'il répond à un ou plusieurs des
critères suivants :
• le site Web n'est pas du tout détecté
• le site Web est erronément détecté comme une menace. Dans ce cas, vous pouvez Rapporter un site
hameçon faux positif.
De manière alternative, vous pouvez soumettre le site Web par courriel. Envoyez votre message à
samples@eset.com. Veuillez donner une description claire de l'objet de votre message et fournissez le plus de
détails possibles sur le fichier (par ex., le site Web qui vous y a référé, comment vous avez appris l'existence ce
site Web, etc.).
Contrôle de périphérique
ESET Mail Security inclut un contrôle automatique des périphériques (CD/DVD/USB). Ce module vous permet
d'analyser, de bloquer ou de régler les filtres ou les permissions étendus et de définir la capacité d'un utilisateur
d'accéder à un périphérique donné et de travailler avec celui-ci. Cela peut être utile si l'administrateur de
l'ordinateur veut empêcher l'utilisation de périphériques comportant un contenu indésirable par des utilisateurs.
237
Lorsque vous activez le contrôle de périphériques à l'aide du commutateur Intégration au système, la
fonction de contrôle de périphérique de ESET Mail Security est activée. Toutefois, un redémarrage de votre
système est requis pour que cette modification prenne effet.
Le contrôle des périphériques devient actif, ce qui vous permet de modifier ses paramètres. Si un périphérique
bloqué par une règle existante est détecté, une fenêtre de notification s'affiche et l'accès au périphérique est
refusé.
Règles
Une règle de contrôle de périphérique définit l'action qui sera effectuée lorsqu'un périphérique conforme aux
critères énoncés dans la règle est branché à l'ordinateur.
Groupes
Lorsque vous cliquez sur Modifier, vous pouvez gérer les groupes de périphériques. Créez un nouveau groupe de
périphériques ou sélectionnez-en un existant pour ajouter ou supprimer des périphériques de la liste.
Vous pouvez afficher les entrées du journal de contrôle de périphériques dans Fichiers journaux.
Règles de périphériques
Des périphériques particuliers peuvent être autorisés ou bloqués en fonction d’un utilisateur, d’un groupe
d'utilisateurs ou de l'un des paramètres supplémentaires pouvant être précisés dans la configuration de la règle.
La liste de règles contient plusieurs éléments descriptifs d'une règle comme son nom, le type de périphérique
externe, l'action à effectuer après la détection d'un périphérique et la gravité du journal.
Vous pouvez ajouter une nouvelle règle ou modifier les paramètres d'une règle existante. Entrez une description
de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cliquez sur le commutateur à côté de
Règle activée pour activer ou désactiver cette règle, ce qui peut être utile si vous ne voulez pas supprimer
définitivement la règle.
Appliquer pendant
Vous pouvez limiter les règles à l'aide des créneaux temporels. Créez d'abord le créneau temporel; il apparaîtra
ensuite dans le menu déroulant.
Type de périphériques
Choisissez le type de périphériques externe dans le menu déroulant (Stockage sur disque/Dispositif
portable/Bluetooth/FireWire/etc.). Les types de périphériques sont tirés du système d'exploitation et peuvent
être affichés dans le Gestionnaire de périphériques, en assumant qu'un périphérique est branché à l'ordinateur.
Les périphériques de stockage incluent les disques externes ou les lecteurs conventionnels de cartes mémoires
branchés à un port USB ou FireWire. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à puce avec
circuit intégré, comme les cartes SIM ou les cartes d'authentification. Des numériseurs ou des appareils-photos
sont des exemples de périphériques d'imagerie. Ces appareils ne fournissent aucune information sur les
utilisateurs, seulement sur leurs actions. En un mot, les périphériques d'imagerie ne peuvent qu'être bloqués
globalement.
Action
238
L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles connexes aux
périphériques de stockage permettent de sélectionner l'un des réglages de droits suivants :
• Lecture et écriture - L'accès complet au périphérique sera autorisé.
• Bloquer - L'accès au périphérique sera bloqué.
• Lecture seule - Seule l'accès en lecture à partir du périphérique sera autorisée.
• Avertir – Chaque fois qu'un périphérique est connecté, l'utilisateur sera informé s'il est autorisé ou
bloqué, et une entrée de journal sera effectuée. Les périphériques ne sont pas mémorisés; une notification
sera toujours affichée pour les connexions ultérieures du même périphérique.
Veuillez noter que seuls certains droits (actions) sont disponibles pour tous les types de périphériques. Si
un périphérique comporte de l'espace de stockage, les quatre actions seront alors disponibles. Pour les
périphériques autres que de stockage, seules deux actions sont disponibles (par exemple, l'action Lecture
seule n'est pas disponible pour Bluetooth, ce qui signifie que ce périphérique ne peut être qu'autorisé ou
que bloqué).
Type de critère
D'autres paramètres présentés ci-dessous peuvent être utilisés pour affiner les règles et les personnaliser en
fonction des périphériques. Tous les paramètres sont sensibles à la casse et prennent en charge les caractères
génériques (*, ?) :
• Fournisseur – Filtrer par nom de fournisseur ou par identifiant.
• Modèle - Nom donné au périphérique.
• Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas
des CD/DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD.
Si ces paramètres ne sont pas définis, la règle ignore ces champs lors de la recherche de correspondances.
Les paramètres de filtrage dans tous les champs de texte sont sensibles à la casse et prennent en charge les
caractères génériques (un point d'interrogation (?) représente un seul caractère, tandis qu'un astérisque (*)
représente une chaîne de zéro ou plusieurs caractères).
Pour connaître les paramètres d'un périphérique, créez une règle d'autorisation pour le type de périphérique
approprié, puis connectez le périphérique à l'ordinateur avant de vérifier les détails du périphérique dans le
Journal du contrôle des périphériques.
Choisissez la Journalisation de la gravité dans la liste déroulante :
• Toujours - Consigne tous les événements.
• Diagnostic - Consigne les données requises pour affiner le programme.
• Information - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi
que toutes les entrées préalables.
• Avertissement – Enregistre les erreurs critiques et les messages d'avertissement.
• Aucun - Aucune journalisation ne sera faite.
239
Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant dans la Liste des
utilisateurs. Cliquez sur Modifier pour gérer la liste d'utilisateurs.
• Ajouter - Ouvre la boîte de dialogue Types d'objet : La fenêtre de dialogue Utilisateurs ou Groupes qui
permet de sélectionner les utilisateurs voulus.
• Supprimer - Supprime l'utilisateur sélectionné du filtre.
Tous les périphériques peuvent être filtrés par des règles utilisateurs (par exemple, les imageurs ne
fournissent aucune information sur les utilisateurs, seulement sur les actions invoquées).
Les fonctions suivantes sont disponibles :
Modifier
Vous permet de modifier le nom d'une règle ou de paramètres sélectionnés pour les périphériques qui s'y
trouvent (fournisseur, modèle, numéro de série).
Copier
Crée une nouvelle règle basée sur les paramètres de la règle sélectionnée.
Supprimer
Permet de supprimer la règle sélectionnée. Vous pouvez aussi utiliser la case à cocher à côté d'une règle donnée
pour la désactiver. Cela peut être utile si vous ne voulez pas supprimer une règle de façon permanente afin que
vous puissiez l'utiliser dans le futur.
Alimenter
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations
sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible).
Lorsque vous sélectionnez un périphérique (à partir de la liste Périphériques détectés) et vous cliquez sur OK, une
fenêtre d'édition des règles apparaît avec de l'information prédéfinie (vous pouvez ajuster tous les paramètres).
Les règles sont classées par ordre de priorité; les règles ayant une priorité plus élevée sont au sommet. Vous
pouvez sélectionner plusieurs règles et appliquer des actions, telles que la suppression ou le déplacement vers le
haut ou vers le bas dans la liste en cliquant sur Au dessus/Vers le haut/Vers le bas/En dessous (les flèches de
défilement).
Groupes de périphériques
La fenêtre Groupes de périphériques est divisée en deux. La partie droite de la fenêtre contient une liste des
périphériques appartenant au groupe respectif et la partie gauche de la fenêtre contient une liste des groupes
existants. Sélectionnez un groupe qui contient les périphériques que vous souhaitez afficher dans la fenêtre de
droite.
Vous pouvez créer différents groupes de périphériques pour lesquels des règles différentes seront appliquées.
Vous pouvez également créer un seul groupe de périphériques réglé à Lecture/écriture ou Lecture seule. Cela
garantit que les périphériques non reconnus seront bloqués par le contrôle de périphériques lorsqu'ils sont
connectés à votre ordinateur.
240
Un périphérique externe connecté à votre ordinateur peut présenter un risque pour la sécurité.
Les fonctions suivantes sont disponibles :
Ajouter
Vous pouvez ajouter un nouveau groupe en entrant son nom ou ajouter un périphérique à un groupe existant
(vous pouvez aussi spécifier des détails comme le nom du fournisseur, le modèle et le numéro de série) selon la
zone de la fenêtre dans laquelle vous avez cliqué sur le bouton.
Modifier
Vous permet de modifier le nom d'un groupe ou de paramètres sélectionnés pour les périphériques qui s'y
trouvent (fournisseur, modèle, numéro de série).
Supprimer
Supprime le groupe ou le périphérique sélectionné en fonction de l'emplacement de la fenêtre sur laquelle vous
avez cliqué. Vous pouvez également utiliser la case à cocher en regard d'une règle donnée pour la désactiver. Cela
peut être utile si vous ne voulez pas supprimer une règle de façon permanente afin que vous puissiez l'utiliser
dans le futur.
Importer
Importe une liste de numéros de série des périphériques à partir d'un fichier. Chaque périphérique démarre à la
nouvelle ligne.
Le fournisseur, le modèle et le numéro de série doivent être présents pour chaque périphérique et séparés par
une virgule.
Kingston,DT 101 G2,001CCE0DGRFC0371
04081-0009432,USB2.0 HD WebCam,20090101
Alimenter
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations
sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible).
Lorsque vous sélectionnez un périphérique (à partir de la liste Périphériques détectés) et vous cliquez sur OK, une
fenêtre d'édition des règles apparaît avec de l'information prédéfinie (vous pouvez ajuster tous les paramètres).
Ajouter un périphérique
Cliquez sur Ajouter dans la fenêtre à droite pour ajouter un périphérique à un groupe existant. Les autres
paramètres indiqués ci-dessous peuvent être utilisés pour affiner les règles pour différents périphériques. Tous
les paramètres sont sensibles à la casse et prennent en charge les caractères génériques (*, ?) :
• Fournisseur—Filtrer par nom de fournisseur ou par identifiant.
• Modèle - Nom donné au périphérique.
• Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas
des CD/DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD.
241
• Description : description du périphérique pour une meilleure organisation.
Si ces paramètres ne sont pas définis, la règle ignore ces champs lors de la recherche de correspondances.
Les paramètres de filtrage dans tous les champs de texte sont sensibles à la casse et prennent en charge les
caractères génériques (un point d'interrogation (?) représente un seul caractère, tandis qu'un astérisque (*)
représente une chaîne de zéro ou plusieurs caractères).
Une fois le groupe de périphériques créé, vous devez ajouter une nouvelle règle de contrôle de périphérique pour
le groupe de périphériques créé et sélectionner l’action à réaliser.
Une fois que vous avez terminé avec la personnalisation, cliquez sur OK. Cliquez sur Annuler si vous voulez quitter
la fenêtre Groupes de périphériques sans enregistrer les modifications.
Veuillez noter que seuls certains droits (Actions) sont disponibles pour tous les types de périphériques. Si
un périphérique comporte de l'espace de stockage, les quatre actions seront alors disponibles. Pour les
périphériques autres que de stockage, seules deux actions sont disponibles (par exemple, l'action Lecture
seule n'est pas disponible pour Bluetooth, ce qui signifie que ce périphérique ne peut être qu'autorisé ou
que bloqué).
Configuration d'outils
Vous pouvez personnaliser les paramètres avancés pour les éléments suivants :
• Créneaux temporels
• Microsoft Windows® Update
• ESET CMD
• ESET RMM
• Licence
• Fournisseur WMI
• Cibles à analyser de la console de gestion ESET
• Fichiers journaux
• Serveur mandataire
• Mode Présentation
• Diagnostique
• Grappe
Créneaux temporels
Les créneaux temporels sont utilisés dans les règles de contrôle des périphériques, ce qui limite les règles lors de
leur application. Créez un créneau temporel et sélectionnez-le lors de l'ajout ou de la modification de règles
242
existantes (paramètre Appliquer pendant). Cela vous permet de définir des créneaux temporels couramment
utilisés (temps de travail, Fin de semaine, etc.) et de les réutiliser facilement sans redéfinir les plages horaires de
chaque règle. Un créneau temporel devrait être applicable à tout type de règle pertinent qui prend en charge le
contrôle basé sur le temps.
Microsoft Windows® mise à jour
Les mises à jour Windows fournit des corrections importantes aux vulnérabilités potentiellement dangereuses et
augmente le niveau de sécurité général de votre ordinateur. C'est pourquoi il est essentiel que vous installiez les
mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Mail Security vous informe des mises à jour
manquantes en fonction du niveau indiqué. Les niveaux suivants sont disponibles :
• Aucune mise à jour - Aucune mise à jour du système ne pourra être téléchargée.
• Mises à jour facultatives - Les mises à jour de faible priorité pourront minimalement être téléchargées.
• Mises à jour recommandées - Les mises à jour courantes pourront minimalement être téléchargées.
• Mises à jour importantes - Les mises à jour importantes pourront minimalement être téléchargées.
• Mises à jour critiques - Seules les mises à jour critiques pourront être téléchargées.
Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après vérification de
l'état avec le serveur de mise à jour. C'est pourquoi il est possible que les données de mise à jour système ne
soient pas immédiatement disponibles après l'enregistrement des modifications.
Analyseur de ligne de commande
Comme alternative à eShell, vous pouvez exécuter l’analyseur à la demande ESET Mail Security à l’aide d’une ligne
de commande en utilisant ecls.exe situé dans le dossier d’installation.
Voici une liste de paramètres et de commutateurs :
Options :
/base-dir=FOLDER
charger les modules à partir de DOSSIER
/quar-dir=FOLDER
DOSSIER de quarantaine
/exclude=MASK
exclure les fichiers correspondants à MASQUE de l'analyse
/subdir
analyser les sous-dossiers (valeur par défaut)
/no-subdir
ne pas analyser les sous-dossiers
/max-subdir-level=LEVEL sous-niveau maximal de sous-dossiers dans les dossiers à analyser
/symlink
suivre les liens symboliques (valeur par défaut)
/no-symlink
ignorer les liens symboliques
/ads
analyser ADS (valeur par défaut)
/no-ads
ne pas analyser ADS
/log-file=FILE
consigner les résultats dans le FICHIER
/log-rewrite
écraser le fichier de résultats (valeur par défaut - ajouter)
243
/log-console
consigner les résultats dans la console (valeur par défaut)
/no-log-console
ne pas consigner les résultats dans la console
/log-all
consigner également les fichiers nettoyés
/no-log-all
ne pas consigner les fichiers nettoyés (valeur par défaut)
/aind
afficher l'indicateur d'activité
/auto
analyser et nettoyer automatiquement tous les disques locaux
Options de l'analyseur :
/files
analyser les fichiers (valeur par défaut)
/no-files
ne pas analyser les fichiers
/memory
analyser la mémoire
/boots
analyser les secteurs d'amorçage
/no-boots
ne pas analyser les secteurs d'amorçage (valeur par défaut)
/arch
analyser les archives (valeur par défaut)
/no-arch
ne pas analyser les archives
/max-obj-size=SIZE
analyser uniquement les fichiers plus petits que TAILLE Mo (valeur par défaut 0
= illimité)
/max-arch-level=LEVEL
sous-niveau maximal d'archives à analyser dans les archives (archives
imbriquées)
/scan-timeout=LIMIT
analyser les archives pendant un maximum de LIMITE secondes
/max-arch-size=SIZE
n'analyser les fichiers contenus dans une archive que s'ils sont plus petits que
TAILLE (valeur par défaut 0 = illimité)
/max-sfx-size=SIZE
n'analyser les fichiers d'une archive à extraction automatique que s'ils sont plus
petits que TAILLE Mo (valeur par défaut 0 = illimité)
/mail
analyser les fichiers de courriel (valeur par défaut)
/no-mail
ne pas analyser les fichiers de courriel
/mailbox
analyser les boîtes aux lettres (valeur par défaut)
/no-mailbox
ne pas analyser les boîtes aux lettres
/sfx
analyser les archives à extraction automatique (valeur par défaut)
/no-sfx
ne pas analyser les archives à extraction automatique
/rtp
analyser les fichiers exécutables compressés (valeur par défaut)
/no-rtp
ne pas analyser les fichiers exécutables compressés
/unsafe
rechercher les applications potentiellement dangereuses
/no-unsafe
ne pas rechercher les applications potentiellement dangereuses (valeur par
défaut)
/unwanted
rechercher les applications potentiellement indésirables
/no-unwanted
ne pas rechercher les applications potentiellement indésirables (valeur par
défaut)
/suspicious
analyser pour déceler la présence d'applications suspectes (par défaut)
/no-suspicious
ne pas analyser pour déceler la présence d'applications suspectes
/pattern
utiliser les signatures (valeur par défaut)
/no-pattern
ne pas utiliser les signatures
244
/heur
activer l'heuristique (valeur par défaut)
/no-heur
désactiver l'heuristique
/adv-heur
activer l'heuristique avancée (valeur par défaut)
/no-adv-heur
désactiver l'heuristique avancée
/ext-exclude=EXTENSIONS exclure de l'analyse les EXTENSIONS de fichier délimitées par deux-points
/clean-mode=MODE
utiliser le MODE nettoyage pour les objets infectés
Les options suivantes sont disponibles :
• none (par défaut) – Aucun nettoyage automatique n’aura lieu.
• standard – ecls.exe tentera de nettoyer ou de supprimer automatiquement les
fichiers infectés.
• strict – ecls.exe tentera de nettoyer ou de supprimer automatiquement les
fichiers infectés sans intervention de l’utilisateur (vous ne recevrez pas d’invite
avant la supression des fichiers).
• rigorous – ecls.exe supprimera les fichiers sans tentative de nettoyage peu
importe le fichier.
• delete – ecls.exe supprimera les fichiers sans tentative de nettoyage, mais
s’abstiendra de supprimer des fichiers sensibles tels que les fichiers système
Windows.
/quarantine
copier les fichiers infectés (s’ils sont nettoyés) dans Quarantaine (complète
l’action effectuée lors du nettoyage)
/no-quarantine
ne pas copier les fichiers infectés vers Quarantaine
Options générales :
/help
afficher l'aide et quitter
/version
afficher l'information sur la version et quitter
/preserve-time conserver la date et l'heure du dernier accès
Codes de sortie :
0
aucune menace trouvée
1
menaces détectées et nettoyées
10
certains fichiers n’ont pas pu être analysés (peuvent constituer des menaces)
50
menace détectée
100 erreur (les codes de sortie supérieurs à 100 signifient que le fichier n’a pas été analysé et ne peut pas être
considéré comme nettoyé)
ESET CMD
C'est une fonctionnalité qui active les commandes avancées d'ecmd. Elle permet d'exporter et d'importer les
paramètres à l'aide de la ligne de commande (ecmd.exe). Jusqu'à présent, il était seulement possible d'exporter
les paramètres en utilisant l'GUI. La configuration de ESET Mail Security peut être exportée dans un fichier .xml.
Lorsque ESET CMD est activé, deux méthodes d'autorisation sont disponibles :
• Aucune - Aucune autorisation. Nous ne recommandons pas cette méthode, car elle permet l'importation
de toute configuration non signée, ce qui comporte un risque.
245
• Mot de passe de configuration avancée - Un mot de passe est requis lors de l'importation de la
configuration d'un fichier .xml, le fichier doit être signé (voir signature de la configuration .xml plus bas). Le
mot de passe spécifié dans Configuration de l'accès doit être fourni avant qu'une nouvelle configuration
puisse être importée. Si la configuration de l'accès n'est pas activée, le mot de passe ne correspond pas ou le
fichier de configuration .xml n'est pas signé, la configuration ne sera pas importée.
Une fois qu'ESET CMD est activé, vous pouvez utiliser la ligne de commande pour importer ou exporter les
configurations de ESET Mail Security. Vous pouvez le faire manuellement ou créer un script pour l'automatiser.
Pour utiliser les commandes avancées d'ecmd, vous devez les exécuter avec des privilèges d'administrateur
ou ouvrir l'invite de commandes (cmd) de Windows en utilisant Exécuter en tant qu'administrateur. Sinon,
vous obtiendrez le message Erreur lors de l'exécution de la commande. En outre, lors de l'exportation de
la configuration, le dossier de destination doit exister. La commande Export fonctionne même lorsque le
paramètre ESET CMD est désactivé.
Commande d'exportation des paramètres :
ecmd /getcfg c:\config\settings.xml
Commande d'importation des paramètres :
ecmd /setcfg c:\config\settings.xml
Les commandes ecmd avancées ne peuvent être exécutées que localement. L'exécution d'une tâche de
client Exécuter la commande en utilisant ESET PROTECT ne fonctionnera pas.
Signature du fichier de configuration .xml :
1. Téléchargez l'exécutable XmlSignTool.
2. Ouvrez une invite de commande Windows (cmd) en utilisant Exécuter en tant qu'administrateur.
3. Accédez à l'emplacement de xmlsigntool.exe
4. Exécutez une commande pour signer le fichier de configuration .xml xmlsigntool /version 1|2
<xml_file_path>
La valeur du paramètre /version dépend de la version de votre ESET Mail Security. Utilisez /version 2
pour ESET Mail Security 7 et versions ultérieures.
5. Entrez deux fois le mot de passe de la configuration avancée lorsque XmlSignTool le demande. Votre
fichier de configuration .xml est maintenant signé et peut être utilisé pour l'importation sur une autre
instance de ESET Mail Security avec ESET CMD en utilisant la méthode d'autorisation de mot de passe de
configuration avancée.
246
Commande de signature de fichier de configuration exportée : xmlsigntool /version 2
c:\config\settings.xml
Si le mot de passe de la configuration d'accès change et que vous souhaitez importer la configuration qui a
été signée précédemment avec un ancien mot de passe, vous pouvez signer le fichier de configuration .xml
à nouveau à l'aide du mot de passe actuel. Cela vous permet d'utiliser un fichier de configuration plus
ancien sans avoir besoin de l'exporter sur une autre machine exécutant ESET Mail Security avant
l'importation.
ESET RMM
La surveillance et la gestion à distance (RMM) est le processus de supervision et de contrôle des systèmes logiciels
(tels que ceux sur les ordinateurs de bureau, les serveurs et les appareils mobiles) au moyen d'un agent installé
localement auquel un fournisseur de services de gestion peut accéder.
Activer RMM
Active la surveillance et la gestion à distance. Vous devez disposer des privilèges d'administrateur pour utiliser
l'utilitaire RMM.
Mode de fonctionnement
Sélectionnez le mode de fonctionnement de RMM souhaité dans le menu déroulant :
• Opérations sécurisées uniquement : si vous souhaitez activer l'interface RMM pour des opérations sûres
et en lecture seule
• Toutes les opérations : si vous souhaitez activer l'interface RMM pour des opérations sûres et en lecture
seule
Méthode d'autorisation
Définissez la méthode d'autorisation de RMM dans le menu déroulant :
247
• Aucune : Aucune vérification du chemin de l'application ne sera effectuée, vous pouvez exécuter
ermm.exe depuis n'importe quelle application
• Chemin d'application : Spécifiez l'application autorisée à s'exécuter ermm.exe
L'installation d'ESET Mail Security par défaut contient le fichier ermm.exe situé dans ESET Mail Security (chemin
par défaut c:\Program Files\ESET\ESET Mail Security). ermm.exe échange des données avec le plugiciel de RMM,
qui communique avec l'agent de RMM, lié à un serveur RMM.
• ermm.exe : Utilitaire de ligne de commande développé par ESET qui permet la gestion des produits de
point d'extrémité et la communication avec n'importe quel plugiciel de RMM.
• Plugiciel de RMM : Application tierce s'exécutant localement sur un système de point d'extrémité
Windows. Le plugiciel a été conçu pour communiquer avec un agent de RMM en particulier (par exemple
Kaseya uniquement) et avec ermm.exe.
• Agent de RMM : Application tierce (par exemple de Kaseya) s'exécutant localement sur un système de
point d'extrémité Windows. L'agent communique avec le plugiciel de RMM et avec le serveur RMM.
• Serveur RMM : S'exécute en tant que service sur un serveur tiers. Les systèmes RMM pris en charge sont
fournis par Kaseya, Labtech, Autotask, Max Focus et Solarwinds N-able.
Consultez l'article de notre base de connaissances à ce sujet pour plus de renseignements sur ESET RMM dans
ESET Mail Security.
Plugiciel ESET Direct Endpoint Management pour les solutions RMM tierces
RMM Server s'exécute en tant que service sur un serveur tiers. Pour plus d'informations, consultez les guides de
l'utilisateur en ligne d'ESET Direct Endpoint Management suivants :
• Plugiciel ESET Direct Endpoint Management pour ConnectWise Automate
• Plugiciel ESET Direct Endpoint Management pour DattoRMM
• Plugiciel ESET Direct Endpoint Management pour Solarwinds N-Central
• Plugiciel ESET Direct Endpoint Management pour NinjaRMM
Licence
ESET Mail Security se connecte au serveur de licences ESET plusieurs fois par heure pour effectuer des
vérifications. Le paramètre Vérification d'intervalle est réglé sur Automatique par défaut. Si vous souhaitez
réduire le trafic réseau causé par les vérifications de licence, définissez la vérification d'intervalle sur Limitée et la
vérification de licence ne sera effectuée qu'une fois par jour (également après le redémarrage du serveur).
Lorsque la vérification d'intervalle est définie sur Limitée, toutes les modifications liées à la licence apportées à
votre ESET Mail Security au moyen de ESET Business Account et d'ESET MSP Administrator peuvent prendre
jusqu'à un jour pour être appliquées.
248
Fournisseur WMI
Windows Management Instrumentation (WMI est l'implémentation par Microsoft de Web Based Enterprise
Management (WBEM), qui est une initiative de l'industrie pour développer un standard technologique pour
accéder à l'information de gestion dans un environnement d'entreprise.
Pour en savoir plus sur la WMI, voir
http://msdn.microsoft.com/en-us/library/windows/desktop/aa384642(v=vs.85).aspx
Activer le fournisseur WMI
L'objectif du Fournisseur ESET WMI est de permettre la surveillance à distance des produits ESET dans un
environnement d'entreprise sans nécessiter quelconque outil ou logiciel ESET spécifique. En exposant les
renseignements de base sur le produit, le statut et les statistiques par WMI, nous augmentons énormément les
possibilités pour les administrateurs de l'entreprise lors de la surveillance les produits ESET.
Les administrateurs peuvent tirer avantage des nombreuses méthodes d'accès offertes par WMI (ligne de
commande, scripts et outils de surveillance d'entreprise tiers) pour surveiller l'état de leurs produits ESET.
L'implémentation courante procure un accès en lecture seule à l'information de vase sur le produit, les
fonctionnalités installées et leur état de protection, les statistiques individuelles relatives aux analyseurs et les
fichiers journaux du produit.
Le fournisseur WMI permet d'utiliser l'infrastructure et les outils WMI standard de Windows pour lire l'état et les
journaux du produit.
Données fournies
Toutes les classes WMI liées au produit ESET sont situées dans l'espace de noms « root\ESET ». Les classes
suivantes, qui sont décrites de manière plus détaillée ci-bas, sont maintenant implantées :
Général
• ESET_Product
• ESET_Features
• ESET_Statistics
Journaux
• ESET_ThreatLog
• ESET_EventLog
• ESET_ODFileScanLogs
• ESET_ODFileScanLogRecords
• ESET_ODServerScanLogs
249
• ESET_ODServerScanLogRecords
• ESET_HIPSLog
• ESET_URLLog
• ESET_DevCtrlLog
• ESET_GreylistLog
• ESET_MailServeg
• ESET_HyperVScanLogs
• ESET_HyperVScanLogRecords
Classe ESET_Product
Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Les propriétés de cette classe réfèrent aux
renseignements de base à propos de votre produit ESET installé :
• ID - Identifiant du type de produit, par exemple « emsl »
• Name - Nom du produit, par exemple « ESET Mail Security »
• FullName - Nom complet du produit, par exemple « ESET Mail Security for IBM Domino »
• Version - Version du produit, par exemple « 6.5.14003.0 »
• VirusDBVersion - Version de la base de données de virus, par exemple « 14533 (20161201) »
• VirusDBLastUpdate - Estampille temporelle de la dernière mise à jour de la base de données de virus. La
chaîne contient l'estampille temporelle en format WMI date/heure, par exemple
« 20161201095245.000000+060 »
• LicenseExpiration - Délai d'expiration de la licence. La chaîne contient l'estampille temporaire au format
WMI dateheure
• KernelRunning - Valeur booléenne indiquant si le service s'exécute sur la machine, par exemple « TRUE »
• StatusCode - Chiffre indiquant l'état de protection du produit : 0 - Vert (OK), 1 - Jaune (Avertissement), 2 Rouge (Erreur)
• Texte d'état - Message qui décrit la raison d'un code d'état non nul, sinon il n'est pas nul
Classe ESET_Features
La classe ESET_Features possède de multiples instances, selon le nombre de fonctionnalités du produit. Voici le
contenu de chaque instance :
• Nom - Nom de la fonctionnalité (une liste de noms est offerte plus bas)
• État - État de la fonctionnalité : 0 - Inactive, 1 - Désactivée, 2 - Activée
250
Une liste des chaînes représentant les fonctionnalités couramment reconnues :
• CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichier
• CLIENT_WEB_AV - Protection antivirus Web du client
• CLIENT_DOC_AV - Protection antivirus des documents du client
• CLIENT_NET_FW - Coupe-feu personnel du client
• CLIENT_EMAIL_AV - Protection antivirus des courriels du client
• CLIENT_EMAIL_AS - Protection antipourrielle du courriel du client
• SERVER_FILE_AV - Protection antivirus en temps réel des fichiers sur le fichier protégé du produit du
serveur, par exemple les fichiers dans la base de données SharePoint dans le cas de ESET Mail Security
• SERVER_EMAIL_AV - Protection antivirus des courriels du produit du serveur protégé, par exemple les
courriels dans Microsoft Exchange ou IBM Domino
• SERVER_EMAIL_AS - Protection antipourriel des courriels du produit du serveur protégé, par exemple les
courriels dans Microsoft Exchange ou IBM Domino
• SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la passerelle
• SERVER_GATEWAY_AS - Protection antipourrielle des protocoles réseau protégés sur la passerelle
Classe ESET_Statistics
La classe ESET-Statistics possède de multiples instances, selon le nombre d'analyseurs dans le produit. Voici le
contenu de chaque instance :
• Analyseur : code chaîne pour l'analyseur spécifique, par exemple, « CLIENT_FILE »
• Total - Nombre total de fichiers analysés
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre de fichiers nettoyés
• Estampille temporelle - Estampille temporelle de la dernière modification apportée à cette statistique. En
format WMI date/heure, par exemple « 20130118115511.000000+060 »
• Délai de réinitialisation - Estampille temporelle de la dernière réinitialisation du compteur de statistiques.
En format WMI date/heure, par exemple « 20130118115511.000000+060 »
Liste des chaînes représentant les analyseurs couramment reconnus :
• CLIENT_FILE
• CLIENT_EMAIL
• CLIENT_WEB
251
• SERVER_FILE
• SERVER_EMAIL
• SERVER_WEB
Classe ESET_ThreatLog
La classe ESET_ThreatLog possède de multiples instances, chacune représentant une entrée du journal « Menaces
détectées ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans le [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal
• Type de l'objet - Type de l'objet qui a généré cet événement dans le journal
• Nom de l'objet - Nom de l'objet qui a généré cet événement dans le journal
• Menace - Nom de la menace qui a été trouée dans l'objet décrit par les propriétés ObjectName et
ObjectType
• Action - Action exécutée après l'identification de la menace
• Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
• Information - Description supplémentaire de l'événement
• Hachage - Hachage de l'objet qui a généré cet événement dans le journal
ESET_EventLog
La classe ESET_EventLog possède de multiples instances, chacune représentant une entrée du journal
« Événements ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal
• Événement - Description de l'événement
• Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
252
ESET_ODFileScanLogs
La classe ESET_ODFileScanLogs possède de multiples instances, chacune représentant une entrée d'analyse de
fichiers à la demande. C'est l'équivalent de la liste des journaux IUG « Analyse de l'ordinateur à la demande ».
Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
• Cibles - Dossiers/objets cibles de l'analyse
• Total analysés - Nombre total d'objets analysés
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre d'objets nettoyés
• État - État du processus d'analyse
ESET_ODFileScanLogRecords
La classe ESET_ODFileScanLogRecords possède de multiples instances, chacune représentant une entrée de
journal dans l'un des journaux d'analyse représentés par les instances de la classe ESET_ODFileScanLogs. Les
instances de cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux à la
demande. Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété
LogID. Voici le contenu de chaque instance de classe :
• Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une
des instances de la classe ESET_ODFileScanLogs)
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• Journal - Le message du journal courant
ESET_ODServerScanLogs
La classe ESET_ODServerScanLogs possède de multiples instances, chacune représentant l'exécution d'une
analyse de serveur à la demande. Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
• Cibles - Dossiers/objets cibles de l'analyse
• Total analysés - Nombre total d'objets analysés
253
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre d'objets nettoyés
• Occurrence de la règle - Nombre total d'occurrences de la règle
• État - État du processus d'analyse
ESET_ODServerScanLogRecords
La classe ESET_ODServerScanLogRecords possède de multiples instances, chacune représentant une entrée de
journal dans l'un des journaux d'analyse représentés par instance de la classe ESET_ODServerScanLogs. Les
instances de cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux à la
demande. Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété
LogID. Voici le contenu de chaque instance de classe :
• Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une
des instances de la classe ESET_ ODServerScanLogs)
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Journal - Le message du journal courant
ESET_SmtpProtectionLog
La classe ESET_SmtpProtectionLog possède de multiples instances, chacune représentant une entrée du journal
« Smtp protection ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• Domaine HELO - Nom du domaine HELO
• Adresse IP - Adresse IP source
• Expéditeur - Expéditeur du courriel
• Destinataire - Destinataire du courriel
• Type de protection - Type de protection utilisé
254
• Action - Action exécutée
• Raison - Raison de l'action
• Temps d'acceptation - Nombre de minutes après lequel le courriel sera accepté
ESET_HIPSLog
La classe ESET_HIPSLog possède de multiples instances, chacune représentant une entrée du journal « HIPS ».
Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Application - Applications sources
• Cible - Type de l'opération
• Action - Mesure prise par HIPS, par exemple, autoriser, refuser, etc.
• Règle - Nom de la règle responsable de l'action
• AdditionalInfo
ESET_URLLog
La classe ESET_URLLog possède de multiples instances, chacune représentant une entrée du journal « Sites Web
filtrés ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• URL - L'URL
• État - Ce qui est arrivé à l'URL, par ex. « Bloqué par le contrôle Web »
• Application - Application qui a tenté d'accéder à l'URL
• Utilisateur - Compte d'utilisateur sous lequel l'application s'exécutait
ESET_DevCtrlLog
255
La classe ESET_DevCtrlLog possède de multiples instances, chacune représentant une entrée du journal
« Contrôle de périphériques ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• Appareil - Nom de l'appareil
• Utilisateur - Nom du compte utilisateur
• SID Utilisateur - SID du compte utilisateur
• Groupe - Nom du groupe de l'utilisateur
• SID Groupe - SID du groupe de l'utilisateur
• État - Ce qui est arrivé à l'appareil, par ex. « Écriture bloquée »
• Détails de l'appareils - Informations supplémentaires concernant l'appareil
• Détails de l'événement - Informations supplémentaires concernant l'événement
ESET_MailServerLog
La classe ESET_MailServerLog possède de multiples instances, chacune représentant une entrée du journal
« Serveur de messagerie ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• Adresse IP - Adresse IP source
• Domaine HELO - Nom du domaine HELO
• Expéditeur - Expéditeur du courriel
• Destinataire - Destinataire du courriel
• Objet - Objet du courriel
• Type de protection - Type de protection ayant exécuté l'action décrite par l'enregistrement de journal en
cours, à savoir logiciel malveillant, antipourriel ou règles.
256
• Action - Action exécutée
• Raison - La raison pour laquelle l'action a été effectuée sur l'objet par le Type de protection donné.
ESET_HyperVScanLogs
La classe ESET_HyperVScanLogs possède de multiples instances, chacune représentant une exécution de l'analyse
Hyper-V. C'est l'équivalent de la liste des journaux IUG « Analyse de Hyper-V ». Voici le contenu de chaque
instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Cibles - Machines/disques/volumes cibles de l'analyse
• Total analysés - Nombre total d'objets analysés
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre d'objets nettoyés
• État - État du processus d'analyse
ESET_HyperVScanLogRecords
La classe ESET_HyperVScanLogRecords possède de multiples instances, chacune représentant une entrée de
journal dans l'un des journaux d'analyse représentés par les instances de la classe ESET_HyperVScanLogs. Les
instances de cette classe fournissent des entrées de journal de toutes les analyses Hyper-V et de tous les
journaux. Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété
LogID. Voici le contenu de chaque instance de classe :
• Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une
des instances de la classe ESET_HyperVScanLogs)
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• Journal - Le message du journal courant
ESET_NetworkProtectionLog
La classe ESET_NetworkProtectionLog possède de multiples instances, chacune représentant une entrée du
journal « Protection du réseau ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
257
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• Événement - Événement déclenchant la protection du réseau
• Action - Action exécutée par la protection du réseau
• Source - Adresse source du périphérique réseau
• Source - Adresse cible du périphérique réseau
• Protocole - Protocole de communication réseau
• Règle ou nom du ver - Règle ou nom du ver lié à l'événement
• Application - Application qui démarre la communication réseau
• Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
ESET_SentFilesLog
La classe ESET_SentFilesLog possède de multiples instances, chacune représentant une entrée du journal
« Fichiers envoyés ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• Sha1 - Hachage SHA-1 du fichier envoyé
• Fichier - Fichier envoyé
• Format - Format du fichier envoyé
• Catégorie - Catégorie du fichier envoyé
• Raison - Raison de l'envoi du fichier
• Envoyé à - Service d'ESET auquel le fichier a été envoyé
• Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
ESET_OneDriveScanLogs
La classe ESET_OneDriveScanLogs possède de multiples instances, chacune représentant une exécution de
258
l'analyse de OneDrive. C'est l'équivalent de la liste des journaux IUG « Analyse de OneDrive ». Voici le contenu de
chaque instance :
• Identifiant - Identifiant unique pour ce journal OneDrive
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
• Cibles - Dossiers/objets cibles de l'analyse
• Total analysés - Nombre total d'objets analysés
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre d'objets nettoyés
• État - État du processus d'analyse
ESET_OneDriveScanLogRecords
La classe ESET_OneDriveScanLogRecords possède de multiples instances, chacune représentant une entrée de
journal dans l'un des journaux d'analyse représentés par les instances de la classe ESET_OneDriveScanLogs. Les
instances de cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux de
OneDrive. Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété
LogID. Voici le contenu de chaque instance :
• Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une
des instances de la classe ESET_OneDriveScanLogs)
• Identifiant - Identifiant unique pour ce journal OneDrive
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
• Journal - Le message du journal courant
Accès aux données fournies
Voici quelques exemples pour montrer comment accéder aux données WMI ESET à partir de la ligne de
commande Windows et PowerShell, qui devraient fonctionner à partir de n'importe quel système d'exploitation
Windows courant. Cependant, il existe bien d'autres façons d'accéder aux données à partir d'autres langages et
outils de script.
Ligne de commande sans script
wmic peut être utilisé pour accéder à une variété de classes WMI prédéfinies ou personnalisées.
Pour afficher tous les renseignements à propos d'un produit qui se trouve sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product
259
Pour afficher le numéro de version du produit seulement pour un produit qui se trouve sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product Get Version
Pour afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance avec
l'adresse IP 10.1.118.180 :
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
Pour obtenir et afficher les tous les renseignements à propos d'un produit sur une machine locale :
Get-WmiObject ESET_Product -namespace 'root\ESET'
Pour obtenir et afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance
avec l'adresse IP 10.1.118.180 :
$cred = GetCredential # promts the user for credentials and stores it in the variable
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' cred $cred
Cibles à analyser de la console de gestion ESET
Cette fonctionnalité permet à ESET PROTECT d'utiliser la cible à analyser (analyse de la base de données de boîte
de courriels à la demande et analyse Hyper-V) lors de l'exécution de la tâche client Analyse du serveur sur un
serveur avec ESET Mail Security. Le paramètre Cibles d'analyse d'ESET PROTECT n'est disponible que si vous avez
installé ESET Management Agent; dans le cas contraire, il est grisé.
Lorsque vous activez Générer une liste des cibles ESET Mail Security crée une liste des cibles d'analyse
disponibles. Cette liste est générée régulièrement, en fonction de la Période de mise à jour.
Lorsque Générer la liste des cibles est activée pour la première fois, il faut à ESET PROTECT environ la
moitié de la Durée de mise à jour pour générer la liste. Par exemple, si la Durée de mise à jour est réglée à
60 minutes, ESET PROTECT allouez un délai de 30 minutes environ pour recevoir la liste des cibles
d'analyse. Si vous voulez que ESET PROTECT reçoive la liste avant, réglez la durée de mise à jour à une
valeur plus petite. Vous pourrez toujours augmenter cette valeur ultérieurement.
Lorsque ESET PROTECT exécute une tâche client Analyse du serveur, il rassemble la liste et vous demande de
choisir les cibles d'analyse pour l'analyse Hyper-V pour ce serveur en particulier.
Mode prioritaire
Si une politique ESET PROTECT s'applique à ESET Mail Security, une icône de verrouillage
sera affichée
plutôt que le commutateur Activer/désactiver sur la page Configuration et une icône de verrouillage sera affichée
à côté du commutateur dans la fenêtre Configuration avancée.
260
Les paramètres qui sont configurés par l'intermédiaire de la politique ESET PROTECT ne peuvent normalement pas
être modifiés. Le mode prioritaire vous permet de déverrouiller temporairement ces paramètres. Vous devez
toutefois activer le mode prioritaire à l'aide de la politique ESET PROTECT.
Connectez-vous à la console Web ESET PROTECT, accédez à Politiques, sélectionnez et modifiez la politique
existante qui s'applique à ESET Mail Security ou créez-en une nouvelle. Dans Paramètres, cliquez sur Mode
prioritaire, activez-le et configurez le reste de ses paramètres, incluant le type d'authentification (Utilisateur
d'Active Directory ou Mot de passe).
Une fois la politique modifiée, ou qu'une nouvelle politique est appliquée à ESET Mail Security, le bouton
Contourner la politique sera affiché dans la fenêtre Configuration avancée.
261
Cliquez sur le bouton Contourner la politique, réglez la durée et cliquez sur Appliquer.
Si vous sélectionnez Mot de passe comme type d'authentification, saisissez le mot de passe de contournement de
262
la politique.
Une fois que le mode de remplacement aura expiré, toutes modifications que vous aurez apportées à la
configuration retourneront aux paramètres de la politique d’origine de ESET PROTECT. Une notification sera
affichée avant que le mode prioritaire n'expire.
Vous pouvez Terminer le contournement à tout moment avant que ce mode ne prenne fin sur la page
Surveillance ou dans la fenêtre Configuration avancée.
Fichiers journaux
Cette section vous permet de modifier la configuration de la journalisation de ESET Mail Security.
Enregistrements journaux
Les enregistrements sont inscrits dans le journal Événements (C:\ProgramData\ESET\ESET Security\Logs) et
peuvent être consultés dans l'afficheur de Fichiers journaux. Utilisez les commutateurs pour activer ou désactiver
une fonction particulière :
Inscrire les erreurs de transport de courriel au journal
Si cette option est activée et que des problèmes surviennent dans la couche de transport des courriels, des
messages d'erreur sont inscrits dans le journal Événements.
Inscrire les exceptions de transport de courriel au journal
Si des exceptions surviennent sur la couche de transport des courriels, les détails concernant ces exceptions sont
inscrits dans le journal Événements.
Filtre de journalisation
263
Génère une quantité importante de données car toutes les options de journalisation sont activées par défaut.
Nous vous recommandons de désactiver sélectivement la journalisation des composants qui ne sont pas
intéressants ou liés au problème.
Pour démarrer la journalisation comme telle, vous devez activer la journalisation diagnostique générale au
niveau du produit à partir de menu principal dans Configuration > Outils. Une fois que la journalisation est
activée, ESET Mail Security collecte les journaux détaillés selon les fonctionnalités qui sont activées dans
cette section.
Utilisez les commutateurs pour activer ou désactiver une fonction particulière. Ces options peuvent également
être combinées en fonction de la disponibilité des composants individuels dans ESET Mail Security.
• Journalisation diagnostique du transport du courriel
Lorsque vous résolvez des problèmes avec l'analyse de la base de données exécutée dans le cadre d'une
opération normale, nous vous recommandons de désactiver la journalisation des diagnostics de transport
du courriel. Sinon, cela pourrait obstruer le journal résultant et le rendre difficile à analyser.
• Journalisation diagnostique de l'analyse de la base de données à la demande - Inscrit des informations
détaillées dans les journaux, en particulier lorsque le dépannage est nécessaire.
• Journalisation diagnostique de grappe - La journalisation de la grappe sera incluse dans la journalisation
diagnostique générale.
• Journalisation diagnostique de OneDrive : La journalisation de OneDrive sera incluse dans la journalisation
diagnostique générale.
• Journalisation de diagnostic du moteur antipourriel : Lorsque vous avez besoin de dépannage, vous pouvez
consulter des renseignements détaillés sur le moteur antipourriel dans les journaux. Inscrit des renseignements
détaillés sur le moteur antipourriel dans les fichiers journaux pour fins de diagnostic. Le moteur antipourriel
n'utilise pas le journal Événements (warnlog.dat) et ne peut donc pas être consulté dans le visionneur de fichiers
journaux. Il inscrit les entrées directement dans un fichier dédié (par exemple C:\ProgramData\ESET\ESET Mail
Security\Logs\antispam.0.log) de sorte que les données de diagnostique du moteur antipourriel sont conservées
en un seul endroit. De cette façon, les performances de ESET Mail Security ne sont pas compromises lorsque le
trafic deFichiers
courriels
est important.
journaux
264
Permet de définir comment gérer les journaux. Ceci est particulièrement important pour empêcher l'utilisation
complète du disque. Les paramètres par défaut permettent la suppression automatique des anciens journaux afin
d'économiser de l'espace sur le disque.
Supprimer automatiquement les entrées
Les entrées journal plus anciennes que le nombre de jours indiqué seront supprimées.
Supprimer les notes vieilles de plus de (jours)
Indiquez le nombre de jours.
Supprimer automatiquement les anciennes entrées si la taille du journal est trop grande
Lorsque la taille du journal dépasse la Taille maximale du journal [Mo], les anciennes entrées de journal sont
supprimées jusqu'à ce que la Taille réduite du journal [Mo] soit atteinte.
Sauvegarder les entrées supprimées automatiquement
Les entrées et les fichiers journaux supprimés automatiquement seront sauvegardés dans le répertoire spécifié et
pourront facultativement être compressés en fichiers ZIP.
Sauvegarder les journaux de diagnostic
Sauvegarde automatiquement les journaux de diagnostic supprimés. Si cette option est désactivée, les entrées de
journaux de diagnostic ne sont pas sauvegardées.
Dossier de sauvegarde
Dossier dans lequel les sauvegardes de journaux seront stockées. Vous pouvez activer la sauvegarde des journaux
compressés à l'aide de ZIP.
Optimiser automatiquement les fichiers journaux
Lorsque cette option est activée, les fichiers journaux sont automatiquement défragmentés si le pourcentage de
fragmentation est supérieur à la valeur indiquée dans le champ Si le nombre d'entrées inutilisées dépasse (%).
Cliquez sur Optimiser pour lancer la défragmentation des fichiers journaux. Toutes les entrées de journal vides
sont supprimées pour améliorer la performance et la vitesse de traitement du journal. Cette amélioration peut
être notable, tout particulièrement lorsque les journaux contiennent un grand nombre d'entrées.
Activer le protocole de texte
Pour permettre le stockage des journaux dans un autre format de fichier différent des Fichiers journaux :
• Répertoire cible - Le répertoire où les fichiers journaux seront stockés (s'applique uniquement aux fichiers
texte/CSV). Chaque section du journal possède son propre fichier avec un nom prédéfini (par exemple,
virlog.txtvirlog.txt pour la section Menaces détectées des fichiers journaux, si vous utilisez le format de fichier
texte brut pour stocker les journaux).
• Type - Si vous sélectionnez le format de fichier Texte, les journaux seront stockés dans un fichier texte et les
données seront séparées par des tabulations. La même chose s'applique au format de fichier CSV contenant des
données séparées par des virgules. Si vous sélectionnez Événement, les journaux seront stockés dans le journal
d'événement Windows (qui peuvent être consultés à l'aide de la fonction Observateur d'événements dans
Panneau de contrôle) contrairement aux fichiers.
• Supprimer tous les fichiers journaux efface tous les journaux stockés et sélectionnés dans le menu déroulant
Type.
Pour accélérer la résolution de problèmes, Service d'assistance technique d'ESET pourrait vous demander
de fournir les journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations
nécessaires. Pour plus de détails sur ESET Log Collector, consultez cet article de la Base de connaissances .
Journal d’audit
Suivre les modifications de configuration ou de protection. Étant donné que la modification de la configuration du
produit peut affecter considérablement le fonctionnement de celui-ci, vous pouvez suivre les modifications à des
fins d'audit. Vous verrez les enregistrements de journal des modifications dans la section Fichiers journaux >
Journal d’audit.
Exporter le journal
265
Exporter vers les journaux d'applications et de services Windows
Vous permet de dupliquer des enregistrements du journal de protection du serveur de messagerie vers les
journaux Applications et services. Pour afficher le journal de protection du serveur de messagerie, ouvrez
l'Observateur d'événements de Windows et accédez à Journaux des applications et des services > ESET >
Sécurité > ExchangeServer > Protection de la messagerie. Les journaux d'applications et de services sont pris en
charge sur Microsoft Windows Server 2012 ou plus récent.
Exporter vers le serveur syslog
Vous pouvez faire dupliquer les journaux de protection du serveur de messagerie sur le serveur syslog au format
CEF (Common Event Format). CEF est un format normalisé extensible, basé sur le texte, qui peut être utilisé pour
faciliter la collecte et l'agrégation de données en vue d'une analyse ultérieure par un système de gestion
d'entreprise. Dans ce cas, vous pouvez l'utiliser avec les solutions SIEM (Security Information and Event
Management) et celles de gestion des journaux telles que Micro Focus ArcSight. Consultez la section Mappage
des événements Syslog pour plus d'informations sur les champs d'événement exportés et leur description.
Adresse du serveur
Entrez l'adresse IP ou le nom d'hôte du serveur. Dans le cas d'ArcSight, spécifiez le serveur sur lequel
SmartConnector est installé.
Protocole
Sélectionnez le protocole à utiliser : protocole TCP ou UDP.
Port
La valeur par défaut est 514 pour les deux protocoles.
Exporter vers le fichier
Permet aux journaux d'être exportés localement dans un fichier au format CEF. La capacité de stockage de la
journalisation étant limitée, une journalisation circulaire est utilisée. Les enregistrements sont écrits
séquentiellement dans les fichiers (de mailserver.0.log à mailserver.9.log). Les derniers
enregistrements sont stockés dans mailserver.0.log. Une fois la taille limite atteinte, le fichier le plus ancien
mailserver.9.log est supprimé et les autres fichiers journaux sont renommés en séquence
(mailserver.0.log est renommé mailserver.1.log, etc.).
Chemin d'accès
Le chemin par défaut est C:\ProgramData\ESET\ESET Security\Logs. Vous pouvez modifier l'emplacement si
nécessaire.
Mappage d'événements Syslog
Les tableaux ci-après indiquent le mappage des événements de ESET Mail Security sur les champs de données
ArcSight. Vous pouvez utiliser ces tableaux comme référence de ce qui est transmis à ArcSight via
SmartConnector.
Header
Device Vendor
"ESET"
Device Product
"EMSX"
Device Version
e.g. "7.1.10005.0"
Device Event Class ID e.g. "101"
Event Name
266
"EMSX" or "ESET Mail Security for MS Exchange Server"
Device Event Category unique identifier:
100-199 malware
200-299 phish
300-399 spam
400-499 policy
A brief description of what happened in the event:
MailScanResult: malware
e.g. "MailScanResult: malware" MailScanResult: phishing link
MailScanResult: spam
MailScanResult: policy
CEF Key Name
CEF Key Full Name (Size)
Field Description
Detailed Field Description
rt
deviceReceiptTime
Time event was generated The time at which the event was
generated, in milliseconds since
Jan 1st 1970
src
sourceAddress
Sender's IP
IP address of the sending mail
server
shost
sourceHostName (1023)
Sender's HELO domain
HELO domain of the sending mail
server
flexString1
flexString1
Message-ID
Message-ID header from the
email
dhost
destinationHostName (1023) Receiving server
Hostname of the machine that
received the communication
msg
message (1023)
Message subject
Subject of the message, from the
RFC5233 header "Subject:"
suser
sourceUserName (1023)
SMTP sender
SMTP sender of the email (MAIL
FROM)
duser
destinationUserName (1023) SMTP recipient(s)
SMTP recipient(s) of the email
(RCPT TO)
act
deviceAction (63)
Action taken (cleaned,
quarantined, etc.)
cat
deviceEventCategory (1023) Detection category
Action taken
Most significant detection
(malware >> phish >> spam >>
SPF/DKIM >> policy)
sourceServiceName sourceServiceName
Type of protection
SMTP Transport agent, Ondemand database scan
deviceExternalId
deviceExternalId
Engine version
Anti-Malware engine version,
Antispam engine version, e.g.
"18620,7730"
cs1
deviceCustomString1
Anti-Malware result
Result of Anti-Malware scan,
including threat name
cs1Label
deviceCustomString1Label
"Anti-Malware result"
cs2
deviceCustomString2
Antispam result
cs2Label
deviceCustomString2Label
"Antispam result"
cs3
deviceCustomString3
Anti-Phishing result
cs3Label
deviceCustomString3Label
"Anti-Phishing result"
cs4
deviceCustomString4
SPF/DKIM/DMARC result
cs4Label
deviceCustomString4Label
"SPF/DKIM/DMARC
result"
cs5
deviceCustomString5
"From:" sender
cs5Label
deviceCustomString5Label
"From header"
cs6
deviceCustomString6
cs6Label
deviceCustomString6Label
"To and Cc headers"
fname
filename (1023)
Attachment name
267
"To:" and "Cc:" recipients
Result of Antispam scan, including
reason for marking as spam
Result of Anti-Phishing scan,
including detected URL
Result of SPF/DKIM/DMARC
check, in RFC7601 format
Sender address from RFC5322
header "From:"
Recipients addresses from
RFC5322 headers "To:" and "Cc:"
Name of the first detected
attachment
CEF Key Name
CEF Key Full Name (Size)
Field Description
Detailed Field Description
fileHash
fileHash (255)
Attachment hash
Hash of the first detected
attachment
fsize
fileSize
Attachment size
Size of the first detected
attachment
reason
reason (1023)
Rule/policy activated
Name of the policy triggered by
the email or it's content
File details
Information about all detected
attachments, their names, hashes
and sizes
ESETEMSXFileDetails ESETEMSXFileDetails
Optional
CEF Key
Name
CEF Key Full Name
(Size)
Field Description
end
endTime
Time event has
ended
dtz
deviceTimeZone (255)
Timezone of the
server
request
requestURL
Detected URL
Detailed Field Description
The time at which the activity ended, in milliseconds
since Jan 1st 1970. Useful only if sand boxing
technology is used ESET LiveGuard Advanced.
Malign or blacklisted URL extracted from mail body or
mail headers. ESET Mail Security does not provide
single URL in logs due to the fact that multiple URL's
can be detected in email messages by various
detection components.
Serveur mandataire
Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par l'intermédiaire
d'un serveur mandataire. Si tel est le cas, les paramètres suivants doivent être modifiés. Si vous ne définissez pas
les paramètres, le programme ne pourra pas effectuer de mise à jour automatique. Dans ESET Mail Security, le
serveur mandataire peut être configuré dans deux sections différentes de la fenêtre Configuration avancée (F5) :
1. Configurations avancées (F5) > Mettre à jour > Profiles > Mise à jour > Option de connexion > Mandataire
HTTP Ce paramètre s'applique à un profil de mise à jour donné et est recommandé pour les ordinateurs
portables qui reçoivent souvent des mises à jour de modules à partir de différents endroits.
2. Configurations avancées (F5) > Outils > Serveur mandataire Spécifier le serveur mandataire à ce niveau
définit les paramètres du serveur mandataire global pour tout ESET Mail Security. Les paramètres définis ici
seront utilisés par tous les modules qui se connectent à Internet.
Pour préciser les paramètres de serveur mandataire à ce niveau, activez le commutateur Utiliser un serveur
mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, ainsi que le numéro
de Port du serveur mandataire.
Le serveur mandataire exige une authentification
Si la communication réseau par le serveur mandataire nécessite une authentification, activez cette option et
indiquez le Nom d'utilisateur et le Mot de passe.
268
Détecter le serveur mandataire
Cliquez sur Détecter pour détecter et remplir automatiquement les paramètres du serveur mandataire. Les
paramètres définis dans Internet Explorer seront copiés.
Cette fonctionnalité ne récupère cependant pas les données d'authentification (nom d'utilisateur et mot de
passe); vous devez les fournir.
Utiliser une connexion directe si le mandataire n'est pas disponible
Si un produit est configuré pour utiliser le mandataire HTTP et que ce dernier n'est pas joignable, le produit
contournera le mandataire et communiquera directement avec les serveurs d'ESET.
Mode Présentation
Le mode Présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation ininterrompue de
leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge
sur l'UC. Le mode Présentation peut aussi être utilisé lors de présentations qui ne peuvent être interrompues par
les activités de ESET Mail Security. Lorsque ce mode est activé, toutes les fenêtres de notification sont désactivées
et les tâches planifiées ne sont pas exécutées. La protection du système s'exécute toujours en arrière-plan, mais
n'exige aucune interaction de l'utilisateur.
Activer automatiquement le mode présentation lorsque les applications s'exécutent en mode plein écran
Le mode Présentation est activé automatiquement chaque fois que vous exécutez une application en plein écran.
Lorsque le mode Présentation est activé, il n'est pas possible d'afficher les notifications ni le changement d'état
de votre ESET Mail Security.
Désactiver automatiquement le mode présentation après
Pour définir le temps en minutes après lequel le mode Présentation sera automatiquement désactivée.
Diagnostique
Les diagnostics fournissent des vidages sur incident des processus d'ESET (par exemple, ekrn). Si une application
se bloque, un fichier de vidage sera généré. Cela peut aider les développeurs à déboguer et résoudre divers ESET
Mail Security problèmes.
Cliquez sur le menu déroulant à côté de Type de vidage et sélectionnez l'une des trois options disponibles :
• Désactiver - Permet de désactiver cette fonctionnalité.
• Mini - (Option par défaut) Enregistre le plus petit ensemble d'information utile pouvant aider à identifier la
raison pour laquelle l'application s'est arrêtée inopinément. Ce type de fichier de vidage peut être utile lorsque
l'espace est limité. Cependant, en raison de l'information limitée incluse dans ce fichier, des erreurs n'ayant pas
été causées directement par la menace en cours d'exécution au moment du problème pourraient ne pas être
découvertes lors d'une analyse de ce fichier.
• Complet - Enregistre tout le contenu de la mémoire système, au moment où l'application s'est arrêtée
inopinément. Un vidage complet de mémoire peut contenir des données liées aux processus en cours
269
d'exécution au moment de la création du vidage de mémoire.
Répertoire
Dossier où sera généré le fichier de vidage, lors d'une panne.
Ouvrir le dossier de diagnostique
Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur Windows.
Créer un vidage de diagnostique
Cliquez sur Créer pour créer des fichiers de vidage de diagnostic dans le répertoire cible.
Journalisation avancée
Activer la journalisation avancée de l'analyseur de l'ordinateur : Enregistrez tous les événements qui se
produisent lors de l’analyse de fichiers et de dossiers grâce à l'analyse de l'ordinateur ou la protection en temps
réel du système de fichiers.
Activer la journalisation avancée du contrôle des périphériques : Enregistrer tous les événements qui se
produisent dans le contrôle des périphériques afin de permettre le diagnostic et la résolution de problèmes.
Activer la journalisation avancée de Direct Cloud : Enregistrez toutes les communications du produit entre celuici et les serveurs Direct Cloud.
Activer la journalisation avancée dans Protection des documents : Enregistrer tous les événements qui se
produisent dans le module Protection des documents afin de permettre le diagnostic et la résolution de
problèmes.
Activer la journalisation avancée de Kernel : Enregistrer tous les événements qui se produisent dans le module
ESET kernel service (ekrn) afin de permettre le diagnostic et la résolution de problèmes.
Activer la journalisation avancée des licences : Enregistre toutes les communications du produit avec le serveur
de licences.
Activer le suivi de la mémoire : Enregistrez tous les événements qui aideront les développeurs à diagnostiquer les
fuites de mémoire.
Activer la journalisation avancée de la protection réseau : Enregistrer toutes les données réseau traversant la
solution de protection du réseau au format PCAP. Cela permet d'aider les développeurs à diagnostiquer et à
résoudre les problèmes liés à la protection du réseau.
Activer la journalisation du système d'exploitation : Des informations supplémentaires sur le système
d'exploitation, telles que les processus en cours, l'activité du processeur et les opérations sur les disques, seront
collectées. Cela peut aider les développeurs à diagnostiquer et à résoudre les problèmes liés au produit ESET
s'exécutant sur votre système d'exploitation.
Activer la journalisation avancée du filtrage au niveau du protocole : Enregistre toutes les données traversant le
moteur de filtrage des protocoles au format PCAP afin d'aider les développeurs à diagnostiquer et à résoudre les
problèmes liés au filtrage de protocole.
Activer la journalisation avancée de l'envoi des messages poussés : Enregistrez tous les événements qui se
produisent pendant l'envoi des messages poussés pour permettre le diagnostic et la résolution des problèmes.
Activer la journalisation avancée de la protection en temps réel du système de fichiers : Enregistre tous les
événements dans la protection en temps réel du système de fichiers pour permettre le diagnostic et la résolution
des problèmes.
Activer la journalisation avancée du moteur de mise à jour : Enregistre tous les événements qui se produisent au
cours du processus de mise à jour afin d'aider les développeurs à diagnostiquer et à résoudre les problèmes liés
au moteur de mise à jour.
Emplacement des fichiers journaux
C:\ProgramData\ESET\ESET Security\Diagnostics\
270
Assistance technique
Soumettre les données de configuration du système
Sélectionnez Toujours envoyer pour que votre autorisation ne soit pas requise avant l'envoi de vos données de
configuration ESET Mail Security à l'assistance à la clientèle ou sélectionnez Demander avant l'envoi.
Grappe
Activer la grappe est activé automatiquement lorsque la Grappe est configurée. Vous pouvez la désactiver
manuellement dans la fenêtre Configuration avancée(F5) en cliquant sur l'icône du commutateur (par exemple,
lorsque vous devez modifier la configuration sans que cela n’ait des répercussions sur d'autres nœuds de la
grappe ESET). Ce commutateur ne permet que d'activer ou de désactiver la fonctionnalité de grappe ESET. Pour
configurer la grappe ou la détruire, vous devez utiliser l'Assistant de la grappe ou l'option Détruire la grappe dans
la section Outils > Grappe de la fenêtre principale du programme.
Grappe ESET non configurée et désactivée :
Grappe ESET configurée de façon appropriée, avec détails et options :
271
Interface utilisateur
La section Interface utilisateur vous permet de configurer l'interface graphique (IUG) de ESET Mail Security. Vous
pouvez ajuster l'apparence du programme et ses effets visuels.
Utilisez le menu déroulant du mode de démarrage de l'interface graphique pour sélectionner les modes de
démarrage de l'interface utilisateur graphique (IUG) suivants :
• Complet : L'interface utilisateur graphique complète s'affiche.
• Terminal - Aucune notification ou alerte ne sera affichée. L'IUG ne peut être démarré que par
l'administrateur. L'interface utilisateur devrait réglée à Terminal si les éléments graphiques ralentissent les
performances de votre ordinateur ou provoquent d'autres problèmes. Il est possible aussi d'éteindre l'IUG
sur un des serveurs du Terminal. Pour en savoir plus sur ESET Mail Security installé sur votre serveur
Terminal, voir Désactiver l'IOG sur un Serveur Terminal.
Mode couleur
Sélectionnez le jeu de couleurs de l'interface utilisateur graphique (IUG) de ESET Mail Security dans le menu
déroulant :
• Identique aux couleurs du système : le jeu de couleur de ESET Mail Security est basé sur les paramètres
de votre système d'exploitation.
• Sombre : ESET Mail Security utilisera un jeu de couleurs sombres (mode sombre).
• Clair : ESET Mail Security utilisera un jeu de couleurs claires (standard).
272
Afficher l'écran de démarrage : Désactivez cette option si vous préférez ne pas afficher l'écran d'accueil lorsque la
fenêtre principale du programme de votre ESET Mail Security démarre, par exemple lors de la connexion au
système.
Émettre un signal sonore : ESET Mail Security émet un son lorsque des événements importants se produisent
pendant une analyse, par exemple lorsqu'une menace est détectée ou lorsque l'analyse prend fin.
Intégrer au menu contextuel : Lorsque cette option est activée, les éléments de contrôle de ESET Mail Security
sont intégrés au menu contextuel. Le menu contextuel s'affiche si vous cliquez à l'aide du bouton droit de la
souris sur un objet (fichier). Le menu donne la liste de toutes les actions que vous pouvez effectuer sur cet objet.
Information sur la licence
Lorsque cette option est activée, des messages et des notifications concernant votre licence s'affichent.
Afficher les renseignements sur la licence : Lorsque cette option est désactivée, la date d’expiration de la licence
qui figure sur l’état de la protection et sur l’écran Aide et assistance ne s’affiche pas.
Configurer les états des applications liées aux licences : Ouvre la liste des états d’application liés à une licence.
Configurer les notifications de licence : Lorsque cette option est désactivée, les notifications et les messages ne
s’afficheront que lorsque la licence sera arrivée à expiration.
Configuration de l'accès - Vous pouvez empêcher toute modification non autorisée à l'aide de l'outil
Configuration de l'accès afin de s'assurer que le niveau de sécurité s'avère élevé.
ESET Shell - Vous pouvez configurer les droits d'accès aux paramètres du produit, aux fonctionnalités et aux
données par l'intermédiaire d'eShell en modifiant la Politique d'exécution ESET Shell.
Icône dans la zone de notification Windows
Rétablir tous les paramètres dans cette section
Configuration de l'accès
Pour une sécurité maximale de votre système, il est très important que ESET Mail Security soit correctement
configuré. Toute modification inappropriée peut entraîner des problèmes ou même une perte de données
importantes. Pour éviter les modifications inappropriées, vous pouvez protéger votre mot de passe de
configuration ESET Mail Security.
Si vous essayez de désinstaller ESET Mail Security alors que la protection par mot de passe de la
configuration d'accès est activée, vous êtes invité à entrer le mot de passe. Si ce mot de passe n'est pas
fourni, vous ne pourrez pas désinstaller ESET Mail Security.
Protéger les paramètres par un mot de passe
Verrouille ou déverrouille les paramètres de configuration du programme. Cliquez pour ouvrir la fenêtre de
configuration de mot de passe.
Définir le mot de passe
Pour définir ou modifier un mot de passe afin de protéger les paramètres de configuration, cliquez sur Configurer.
273
Pour protéger les paramètres de configuration de ESET Mail Security et ainsi éviter une modification non
autorisée, un nouveau mot de passe doit être défini. Lorsque vous voulez modifier un mot de passe existant,
tapez votre ancien mot de passe dans le champ Ancien mot de passe, puis entrez le nouveau mot de passe dans
les champs Nouveau mot de passe et Confirmer le mot de passe, puis cliquez sur OK. Ce mot de passe sera requis
pour toute modification à venir apportée à ESET Mail Security.
Demander des droits d'administrateur complets pour des comptes Administrateur limités
Sélectionnez cette option pour inviter l'utilisateur actuel (qui n'a pas les droits d'administrateur) à entrer les
informations d'identification du compte administrateur lors de la modification de certains paramètres, par
exemple la désactivation des modules de protection.
Si le mot de passe de Configuration de l'accès change et que vous souhaitez importer le fichier de
configuration .xml existant (qui a été signé avant le changement de mot de passe) à l'aide de la ligne de
commande ESET CMD, assurez-vous de le signer à nouveau à l'aide du mot de passe actuel. Cela vous
permet d'utiliser un fichier de configuration plus ancien sans avoir besoin de l'exporter sur une autre
machine exécutant ESET Mail Security avant l'importation.
ESET Shell
Vous pouvez configurer les droits d'accès aux paramètres du produit, aux fonctionnalités et aux données par
l'intermédiaire d'eShell en modifiant la Politique d'exécution ESET Shell. Script limité est le paramètre par défaut,
mais vous pouvez le modifier en sélectionnant les options Désactiver, Lecture seule ou Accès complet au besoin.
Désactivé
Il n'est pas possible d'utiliser eShell. Seule la configuration d'eShell elle même est autorisée dans le menu
contextuel de ui eshell. Vous pouvez personnaliser l'apparence d'eShell, mais vous n'avez pas accès aux
paramètres ni aux données du produit.
Lecture seule
eShell peut être utilisé comme outil de surveillance. Les modes Interactif et Traitement par lot permettent
l'affichage de tous les paramètres, mais il vous est impossible de modifier un paramètre, une fonctionnalité ou
une donnée.
Scripts limités
En mode Interactif, vous pouvez afficher et modifier tous les paramètres, toutes les fonctionnalités et toutes les
données. En mode Traitement par lot, eShell fonctionnera comme si vous étiez en mode Lecture seule.
Cependant, si vous utilisez des fichiers de traitement par lot signés, il vous sera possible de modifier les
paramètres et les données.
Accès complet
L'accès à tous les paramètres est illimité, tant en mode Interactif qu'en mode Traitement par lot. Vous pouvez
afficher et modifier tous les paramètres. Vous devez utiliser un compte administrateur pour exécuter eShell et
bénéficier de l'accès complet. Si la fonction UAC est activée, une élévation est aussi requise.
274
Désactiver l'interface graphique sur le serveur de
terminal
Cette section décrit la façon de désactiver l'interface graphique de ESET Mail Security utilisée dans les sessions
utilisateur ouvertes sur les serveurs de terminaux Windows.
En temps normal, l'interface graphique de ESET Mail Security s'affiche chaque fois qu'un utilisateur distant ouvre
une session sur le serveur pour créer une session de terminal. Une telle situation est normalement indésirable sur
les Serveurs de terminal. Si vous voulez éteindre l'IUG des sessions de terminal, vous pouvez le faire par
l'entremise d'eShell en exécutant la commande set ui ui gui-start-mode none. Cette action fera passer
l'IUG en mode terminal. Voici les deux modes disponibles pour le démarrage de l'IUG :
set ui ui gui-start-mode full
set ui ui gui-start-mode none
Si vous voulez savoir quel est le mode en cours d'utilisation, exécutez la commande get ui ui gui-startmode.
Si vous avez installé ESET Mail Security sur un serveur Citrix, il est recommandé d'utiliser les paramètres qui
sont décrits dans notre article de la Base de connaissances .
Icône dans la zone de notification Windows
Pour accéder aux options de configuration les plus importantes ainsi qu’aux fonctionnalités, cliquez à l'aide du
bouton droit de la souris sur l'icône de la barre d'état système (zone de notification de Windows) .
Pour accéder au menu des icônes de la barre d'état système (zone de notification de Windows), assurezvous que le mode de démarrage des éléments de l'interface utilisateur est réglé sur Complet.
Plus d'information
Ouvre la page Surveillance pour vous montrer l'état actuel de la protection et les messages.
Suspendre la protection
Affiche la boîte de dialogue de confirmation qui désactive la Protection antivirus et anti-logiciel espion contre les
attaques de système malveillants grâce au contrôle des fichiers, du Web et des communications par courriel. Le
menu déroulant Intervalles de temps permet de spécifier la durée de désactivation de la protection.
Configuration avancée
Ouvre la configuration avancée de ESET Mail Security.
Fichiers journaux
Ils contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées.
275
Réinitialiser la présentation des fenêtres
Réinitialise la fenêtre de ESET Mail Security à sa taille et à sa position par défaut, à l'écran.
Mode couleur
Ouvre les paramètres de l’interface utilisateur où vous pouvez changer la couleur de l’interface utilisateur
graphique.
Rechercher des mises à jour
Démarre la mise à jour du module afin de conserver votre niveau de protection contre les codes malveillants.
À propos
Fournit de l'information sur le système, les détails à propos de la version installée de ESET Mail Security, les
modules du programme installés et la date d'expiration de votre licence. Les renseignements sur votre système
d'exploitation et sur les ressources du système se trouvent au bas de la page.
Notifications
Les notifications sur le bureau et les infobulles sont des messages informatifs ne permettant ou n'exigeant aucune
interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran.
D'autres options détaillées, comme la durée d'affichage des notifications et la transparence de la fenêtre, peuvent
être modifiées ci-dessous.
Pour gérer les notifications de ESET Mail Security, ouvrez Configuration avancée (F5) > Notifications. Vous pouvez
configurer les types suivants :
États d’application : cliquez sur Modifier pour sélectionner les états d’application qui seront affichés dans la
section accueil de la fenêtre principale du programme.
Notifications sur le bureau : petites fenêtres contextuelles à côté de la barre des tâches du système.
Alertes interactives : fenêtres d’alerte et boîtes de message qui nécessitent une interaction de l’utilisateur.
Transfert (notifications par courriel) : les notifications sont envoyées à une adresse courriel spécifiée.
États de l'application
Cette boîte de dialogue vous permet de sélectionner ou désélectionner les états des applications qui seront
affichés ou non. Par exemple, lorsque vous interrompez la Protection antivirus et anti-logiciel espion, ce qui aura
pour résultat de modifier l'état de protection qui sera affiché sur la page Surveillance. L'état de l'application
s'affiche également si votre produit n'est pas activé ou si votre licence a expiré. Les états de l'application peuvent
être gérés à partir des politiques ESET PROTECT.
276
Désactiver les messages et les états
Messages de confirmation
Affiche une liste de messages de confirmation que vous pouvez choisir d'afficher ou de ne pas afficher.
États de l'application
Permet d'activer ou de désactiver l'état d'affichage dans la page Surveillance du menu principal.
Notifications sur le bureau
La notification sur le bureau est représentée par une petite fenêtre de notification à côté de la barre des tâches
du système. Par défaut, elle s'affiche pendant 10 secondes, puis elle disparaît lentement. ESET Mail Security
communique avec l'utilisateur en lui signalant les mises à jour réussies du produit, les nouveaux périphériques
connectés, les analyses de virus, l'achèvement des tâches ou les nouvelles détections trouvées.
Afficher les notifications de bureau
Il est recommandé de garder cette option activée afin que le produit puisse vous informer lorsqu’un nouvel
événement se produit.
Notifications sur le bureau
Cliquez sur Modifier pour sélectionner les notifications de bureau à utiliser pour communiquer au sujet de
différents événements.
277
Activez le commutateur Ne pas afficher les notifications lors de l'exécution d'applications en mode plein écran
pour supprimer toutes les notifications non interactives.
Afficher le temps en secondes
Définissez la durée de visibilité de la notification. La valeur doit être comprise entre 3 et 30 secondes.
Transparence
Définissez le pourcentage de transparence des notifications. La plage prise en charge est de 0 (pas de
transparence) à 80 (transparence très élevée).
Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité
des alertes et des notifications. Les options suivantes sont disponibles :
• Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées
préalables.
• Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que
toutes les entrées préalables.
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront
enregistrées.
• Critique - Ne consigne que les erreurs critiques.
Le champ Sur les systèmes multiutilisateur, afficher les notifications sur l'écran de cet utilisateur permet de
préciser quel utilisateur recevra les notifications système et les autres notifications pour les systèmes autorisant
la connexion simultanée de plusieurs utilisateurs. Il s'agit généralement de l'administrateur système ou de
l'administrateur réseau. Cette option est particulièrement utile pour les serveurs de terminaux, à condition que
toutes les notifications système soient envoyées à l'administrateur.
Autoriser les notifications à se concentrer sur l’écran. Les notifications occuperont l'écran et seront accessibles
au moyen des touches Alt+Tab.
Personnalisation
Cette fenêtre vous permet de personnaliser les messages utilisés dans les notifications.
Message de notification : Un message par défaut sera affiché dans le pied de page des notifications.
Détection
Ne pas fermer automatiquement les notifications de détection
Permet aux notifications de détection de rester affichées à l'écran jusqu'à ce que vous les fermiez manuellement.
Utiliser le message par défaut
Vous pouvez désactiver le message par défaut et spécifier un message de notification de détection personnalisé
278
qui sera affiché lorsqu'une détection est bloquée.
Message de notification de détection
Entrez un message personnalisé à afficher lorsqu'une détection est bloquée.
Notifications sur le bureau
Vous pouvez configurer les notifications de ESET Mail Security pour qu'elles soient affichées sur le bureau.
Alertes interactives
Vous pouvez configurer la façon dont les alertes de menace et les notifications système (telles que les messages
de mise à jour réussie) sont gérées par ESET Mail Security. Par exemple, les durées d'affichage et la transparence
des notifications de zone de notification Windows (cela s'applique uniquement aux systèmes qui prennent en
charge les notifications).
Afficher les alertes interactives
Désactivez cette fonctionnalité si vous souhaitez empêcher ESET Mail Security d'afficher des alertes dans la zone
de notification de Windows.
Liste des alertes interactives
Utile pour l'automatisation. Désélectionnez l'option Demander à l'utilisateur pour les éléments que vous
souhaitez automatiser, et choisissez l'action qui sera entreprise à la place de la fenêtre d'alerte qui attend une
action de votre part.
279
Des fenêtres de notification sont utilisées pour afficher de courts messages textuels ou des questions.
Fermer automatiquement les fenêtres
Pour fermer automatiquement les fenêtres de notification après un certain temps. Si les fenêtres d'alerte ne sont
pas fermées manuellement, elles le sont automatiquement, une fois que le délai fixé est écoulé.
Messages de confirmation
Lorsque vous cliquez sur Modifier, une fenêtre s'ouvre avec une liste de messages de confirmation que ESET Mail
Security s'affiche avant qu'une action ne soit effectuée. Utilisez les cases à cocher pour personnaliser vos
préférences pour les messages de confirmation.
Transfert
ESET Mail Security prend en charge l'envoi automatique de courriels de notification, si un événement ayant le
niveau de verbosité sélectionné se produit.
Transférer à l’adresse courriel
Activez l'option Transférer les notifications vers le courriel pour activer les notifications par courriel.
Notifications transférées
Sélectionnez les notifications de bureau qui sont transférées par courriel.
Paramètres de courriel
Niveau de détails minimal des notifications - Précise le niveau minimal de verbosité des notifications à envoyer.
• Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées
préalables.
• Informative : enregistre des messages informatifs, tels que les événements non standard du réseau, y
compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables.
• Avertissements : enregistre les erreurs critiques et les messages d’avertissement (Anti-stealth ne
s’exécute pas correctement ou la mise à jour a échoué).
• Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront
enregistrées.
• Critique - Ne consigne que les erreurs critiques.
Envoyer chaque notification dans un courriel distinct
Lorsque cette option est activée, le destinataire recevra un nouveau courriel pour chaque notification. Cela peut
entrainer la réception d'un grand nombre de courriels dans un court laps de temps.
Intervalle après lequel les nouveaux courriels de notification seront envoyés (min)
Après l'intervalle en minutes, une nouvelle notification sera envoyée par courriel. Réglez cette valeur à 0 si vous
280
voulez envoyer ces notifications immédiatement.
Adresse de l'expéditeur
Adresse de l'expéditeur - Entrez l'adresse de l'expéditeur qui apparaitra dans l'en-tête des courriels de
notification. C'est ce que le destinataire verra dans le champ Expéditeur.
Adresse du destinataire
Indiquez l'adresse courriel du destinataire qui sera affichée dans l'en-tête des courriels de notification. Utilisez un
point-virgule « ; » pour séparer plusieurs adresses de courriel.
Serveur SMTP
Le nom du serveur SMTP utilisé pour envoyer des alertes et des notifications. C'est typiquement le nom de votre
serveur Microsoft Exchange.
ESET Mail Security prend en charge les serveurs SMTP avec chiffrement TLS.
Nom d'utilisateur et Mot de passe
Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un
mot de passe valides pour accéder au serveur SMTP.
Activer le TLS
Activer les messages d'alerte et de notification pris en charge par le chiffrement TLS.
Tester la connexion SMTP
Un message de test sera envoyé à l’adresse de courriel du destinataire.
Format des messages
Les communications entre le programme et l'utilisateur ou l'administrateur de système distant se font par la
messagerie ou le réseau local (au moyen du service de messagerie Windows). Le format des messages d’alerte et
des notifications par défaut est optimal dans la plupart des situations. Dans certaines situations, le format des
messages d'événement doit être changé.
Format des messages d'événement
Spécifiez le format des messages de notification d’événement par courriel.
Format des messages d'avertissement de menace
Les messages d'alerte de menace et de notification ont un format par défaut prédéfini. Il est déconseillé de
modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé de
traitement des messages), vous serez peut-être amené à modifier le format des messages.
Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données réelles indiquées.
Les mots-clés suivants sont disponibles :
• %TimeStamp% - Date et heure de l'événement.
281
• %Scanner% - Module concerné.
• %ComputerName% - Nom de l'ordinateur où l'alerte s'est produite.
• %ProgramName% - Module ayant généré l'alerte.
• %DetectionObject% - Nom du fichier ou message infecté, etc.
• %DetectionName% - Identification de l'infection.
• %ErrorDescription% - Description d'un événement autre qu'un virus.
Les mots-clés %DetectionObject% et %DetectionName% ne sont utilisés que dans les messages d'alerte de
menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement.
Jeu de caractères
Vous pouvez choisir le codage dans le menu déroulant. Le courriel sera converti en fonction du codage des
caractères sélectionné. Convertit un courriel dans le codage de caractères ANSI en fonction des paramètres
régionaux de Windows (par exemple, windows-1250, Unicode (UTF-8), ACSII 7 bits ou japonais (ISO-2022-JP)). En
conséquence, « á » sera changé en « a » et un symbole inconnu en « ? ».
Utiliser le codage Quoted-printable
Le courriel source sera encodé dans le format Quoted Printable (QP) qui utilise les caractères ASCII et peut
transmettre correctement par courriel les caractères nationaux spéciaux en format 8 bits (áéíóú).
Rétablir les paramètres par défaut
Vous pouvez restaurer les paramètres par défaut dans Paramètres avancés. Il y a deux options. Vous pouvez tout
rétablir par défaut ou rétablir les paramètres uniquement pour une section particulière (les paramètres des
autres sections resteront inchangés).
Rétablir tous les paramètres : Tous les paramètres dans toutes les sections de configuration avancée seront
restaurés à l'état qu'ils avaient après l'installation de ESET Mail Security. Vous pouvez considérer cela comme une
restauration aux paramètres par défaut d'usine.
Cliquez sur Rétablir par défaut et toutes les modifications qui ont été effectuées seront perdues. Cette
action ne peut pas être annulée.
Rétablir tous les paramètres de cette section : Rétablit les valeurs des paramètres du module dans la section
sélectionnée. Toutes les modifications que vous avez apportées dans cette section seront perdues.
282
Rétablir le contenu des tableaux : Lorsque vous activez cette option, vous perdez toutes les règles, les tâches ou
les profils qui ont été ajoutés manuellement ou automatiquement.
Aide et assistance
ESET Mail Security contient des outils de dépannage et de l'information d'assistance qui vous aideront à régler les
problèmes auxquels vous pourriez devoir faire face.
Produit installé
Renseignements sur le produit et la licence
• À propos de ESET Mail Security - Affiche des renseignements sur votre copie de ESET Mail Security.
• Résolutions des problémes liés au produit : Sélectionnez cette option pour trouver les solutions aux
problèmes les plus fréquents. Nous vous recommandons de lire cette section avant de communiquer avec le
service d'assistance technique.
• Dépannage des licences : Sélectionnez cette option pour trouver des solutions aux problèmes d’activation
ou de modification de licence.
• Modifier la licence : Cliquez sur cette option pour lancer la fenêtre d’activation et activer votre produit.
Pages d'aide
Permet de lancer les pages d'aide en ligne pour ESET Mail Security.
Base de connaissances
Rechercher la base de connaissances ESET - La Base de connaissances ESET contient des réponses aux questions
les plus fréquentes, ainsi que les solutions recommandées pour résoudre divers problèmes. Des mises à jour
régulières effectuées par les conseillers techniques ESET font de la base de connaissances l'outil le plus puissant
pour résoudre différents types de problèmes.
283
Assistance technique
• Journalisation avancée : Créez des journaux avancés pour toutes les fonctionnalités disponibles afin
d’aider les développeurs à diagnostiquer et à résoudre les problèmes.
• Demander de l’aide : Si vous ne trouvez pas de réponse à votre problème, contactez notre service
d’assistance technique grâce à cette option.
• Détails pour le support technique : Affiche les informations détaillées (nom du produit, version du produit,
etc.) pour l'assistance technique.
• ESET Log Collector : ESET Log Collector est une application qui collecte automatiquement de l'information
telle que la configuration et les journaux de votre serveur, afin de résoudre plus rapidement les problèmes.
Soumettre une demande d'assistance
Afin d'offrir l'assistance la plus rapide et la plus précise possible, ESET a besoin des informations sur la
configuration de ESET Mail Security, sur la configuration du système, sur les processus en cours d'exécution
(fichier journal ESET SysInspector) et sur les données du registre. ESET utilisera ces données uniquement pour
fournir une assistance technique au client. Il est également possible de configurer ce paramètre à partir de
Configuration avancée (F5) > Outils > Diagnostic > Assistance technique.
Si vous choisissez de soumettre les données du système, il est nécessaire de remplir et de soumettre le
formulaire Web, sinon votre billet ne sera pas créé et vos données système seront perdues.
Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont envoyées à ESET.
Sélectionnez Toujours soumettre ces informations si vous voulez mémoriser cette action pour ce processus.
Ne pas soumettre les données : Utilisez cette option si vous ne souhaitez pas envoyer vos données. Vous serez
redirigé vers la page Web de l'assistance technique ESET.
À propos de ESET Mail Security
Cette fenêtre fournit des détails sur la version installée de ESET Mail Security. La partie supérieure de la fenêtre
contient de l'information sur votre système d'exploitation et les ressources système, l'utilisateur actuellement
connecté et le nom complet de l'ordinateur.
Composants installés
Contient des informations sur les modules, pour afficher une liste des composants installés et leurs détails.
Cliquez sur Copier pour copier la liste sur votre presse-papier. Cela peut être utile lorsque vous dépannez le
logiciel ou que vous devez communiquer avec le service d'assistance technique.
Glossaire
Consultez la page Glossaire pour plus de détails à propos des termes techniques relatifs aux menaces et à la
sécurité Internet.
284
Contrat de licence d'utilisateur final
En vigueur à partir du 19 octobre 2021.
IMPORTANT : Veuillez lire soigneusement les conditions d’application du produit stipulées ci-dessous avant de
télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, EN INSTALLANT, EN COPIANT OU
EN UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES CONDITIONS AINSI QUE LA POLITIQUE DE CONFIDENTIALITÉ.
Contrat de licence de l'utilisateur final
Selon les conditions du présent Contrat de licence d’utilisateur final (« Contrat ») signé par et entre ESET, spol. s r.
o., dont le siège social se situe au Einsteinova 24, 85101 Bratislava, Slovak Republic, inscrite au Registre du
Commerce du tribunal régional de Bratislava I, Section Sro, Insertion No 3586/B, numéro d’inscription des
entreprises : 31333532 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (ci-après appelé
« vous » ou « Utilisateur final »), vous êtes autorisé à utiliser le Logiciel défini à l’Article 1 du présent Contrat. Le
Logiciel défini à l’article 1 du présent Contrat peut être enregistré sur un support de données, envoyé par courriel,
téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur ou obtenu à partir d’autres sources, sous
réserve des modalités et conditions précisées ci-dessous.
CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le
Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage
commercial, et de toutes les copies du Logiciel que l’Utilisateur final est autorisé à faire dans le cadre du présent
Contrat.
En cliquant sur « J’accepte » ou « J’accepte... » lorsque vous téléchargez, copiez ou utilisez le Logiciel, vous
acceptez les conditions du présent Contrat et reconnaissez la Politique de confidentialité. Si vous n'acceptez pas
toutes les conditions du présent Contrat et/ou de la Politique de confidentialité, cliquez immédiatement sur
l'option d'annulation, annulez l'installation ou le téléchargement, ou détruisez ou renvoyez le Logiciel, le support
d'installation, la documentation qui l'accompagne et le reçu de vente au Fournisseur ou au point de vente auprès
duquel vous avez acquis le Logiciel.
VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE
PRÉSENT CONTRAT ET ACCEPTÉ D'EN RESPECTER LES CONDITIONS.
1. Logiciel. Dans le présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique accompagné du
présent Contrat et de toutes ses composantes; (ii) tous les contenus sur les disques, CD-ROM, DVD, courriels ou
tout autre fichier joint, ou sur tout autre support avec lequel ce Contrat est fourni, incluant la forme du code
objet du Logiciel fourni sur un support de données, par courriel ou téléchargement sur Internet; (iii) tout matériel
d’explication écrit ou toute autre documentation éventuelle en lien avec le logiciel, surtout toute description du
Logiciel, ses spécifications, toute description des propriétés ou de l’opération du Logiciel, toute description de
l’environnement d’exécution dans lequel le Logiciel est utilisé, les instructions d’utilisation ou d’installation du
Logiciel ou toute description sur la manière d’utiliser le Logiciel (« Documentation »); (iv) les copies du Logiciel, les
retouches d’erreur possibles dans le Logiciel, les ajouts au Logiciel, les extensions au Logiciel, les versions
modifiées du Logiciel et les mises à jour des composants du Logiciel, s'il y a lieu, pour lesquels vous avez obtenu
une licence du Fournisseur, en vertu de l’Article 3 de ce Contrat. Le Logiciel doit être fourni exclusivement sous
forme de code objet exécutable.
2. Installation, ordinateur et clé de licence. Les logiciels fournis sur un support de données, envoyés par courrier
électronique, téléchargés à partir d'Internet, téléchargés à partir des serveurs du fournisseur ou obtenus à partir
d'autres sources nécessitent une installation. Vous devez installer le logiciel sur un ordinateur correctement
configuré, en respectant au moins les exigences définies dans la documentation. La méthodologie d'installation
285
est décrite dans la documentation. Aucun programme informatique ou matériel pouvant avoir un effet négatif sur
le logiciel ne peut être installé sur l'ordinateur sur lequel vous installez le logiciel. Ordinateur désigne le matériel,
y compris mais sans se limiter aux ordinateurs personnels, aux ordinateurs portables, aux postes de travail, aux
ordinateurs de poche, aux téléphones intelligents, aux appareils électroniques portatifs ou à d'autres appareils
électroniques pour lesquels le Logiciel est conçu, sur lequel il sera installé et/ou utilisé. Clé de licence désigne la
séquence unique de symboles, de lettres, de chiffres ou de signes spéciaux fournie à l'utilisateur final afin de
permettre l'utilisation légale du logiciel, sa version spécifique ou l'extension de la durée de la licence
conformément au présent contrat.
3. Licence. Sous réserve du fait que vous ayez accepté les conditions du présent Contrat et que vous respectiez
toutes les modalités stipulées dans le présent Contrat, le Fournisseur vous accorde les droits suivants (« Licence »)
:
a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le
disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de
stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel.
b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs finaux. On
entend par « un Utilisateur final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si
l’étendue de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur final désigne un utilisateur
d’ordinateur qui reçoit du courriel par le biais d’un agent d'utilisateur (« AU »). Si l'AU accepte du courriel et le
distribue automatiquement par la suite à plusieurs utilisateurs, le nombre d’Utilisateurs finaux doit être
déterminé en fonction du nombre réel d’utilisateurs auxquels le courriel est distribué. Si un serveur de
messagerie joue le rôle de passerelle de courriel, le nombre d’Utilisateurs finaux est égal au nombre d'utilisateurs
du serveur de messagerie pour lesquels la passerelle fournit des services. Si un certain nombre d’adresses de
messagerie sont affectées à un seul et même utilisateur (par l’intermédiaire d’alias) et que ce dernier les accepte
et si les courriels ne sont pas distribués automatiquement du côté du client à d’autres utilisateurs, la Licence n’est
requise que pour un seul ordinateur. Vous ne devez pas utiliser la même Licence au même moment sur plusieurs
ordinateurs. L'utilisateur final est autorisé à entrer la clé de licence du logiciel uniquement dans la mesure où il a
le droit d'utiliser le logiciel conformément à la limitation découlant du nombre de licences accordées par le
fournisseur. La clé de licence est réputée confidentielle. Vous ne devez pas partager la licence avec des tiers ni
permettre à des tiers d'utiliser la clé de licence, sauf autorisation du présent accord ou du fournisseur. Si votre clé
de licence est compromise, informez le fournisseur immédiatement.
c) Version Home/Business Edition. Une version Home Edition du Logiciel doit être utilisée exclusivement dans un
environnement privé et/ou non commercial à des fins personnelles et familiales seulement. Une version Business
Edition du Logiciel doit être obtenue pour toute utilisation dans un environnement commercial ainsi que pour
utiliser le Logiciel sur des serveurs de messagerie, des relais de messagerie, des passerelles de messagerie ou des
passerelles Internet.
d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps.
e) Logiciel acheté à un fabricant d’équipement informatique. Les logiciels classés comme « OEM » sont limités à
l'ordinateur avec lequel vous les avez obtenus. Elle ne peut pas être transférée à un autre ordinateur.
f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou
comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou
d’évaluation des caractéristiques du Logiciel.
g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été
accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au
Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas
286
d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le
Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la
résiliation de la licence, le fournisseur aura également le droit d'annuler le droit de l'utilisateur final d'utiliser les
fonctions du logiciel, qui nécessitent une connexion aux serveurs du fournisseur ou à des serveurs tiers.
4. Fonctions avec collecte de données et nécessitant une connexion Internet. Pour fonctionner correctement, le
logiciel nécessite une connexion à Internet et doit se connecter à intervalles réguliers aux serveurs du fournisseur
ou à des serveurs tiers aux fins de collecte de données applicables conformément à la politique de confidentialité.
La connexion à Internet et aux fins de collecte de données applicable sont nécessaires pour les fonctions
suivantes du Logiciel :
a) Mises à jour du Logiciel. Le Fournisseur est autorisé à émettre des mises à jour ou mises à niveau du Logiciel
(« Mises à jour ») de temps à autre, mais n’en a pas l’obligation. Cette fonction est activée dans la configuration
standard du Logiciel; les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur final a désactivé
l’installation automatique des Mises à jour. Aux fins de fourniture des mises à jour, la vérification de l'authenticité
de la Licence est requise, y compris les informations sur l'ordinateur et/ou la plateforme sur laquelle le Logiciel est
installé tout en respectant la Politique de confidentialité.
La fourniture de toute mise à jour peut être soumise à la politique de fin de vie (« politique de fin de vie »), qui est
disponible sur https://go.eset.com/eol. Aucune mise à jour ne sera fournie après que le Logiciel ou l'une de ses
fonctionnalités a atteint la date de fin de vie telle que définie dans la politique de fin de vie.
b) Réacheminement des infiltrations et des données au Fournisseur. Le Logiciel contient des fonctions qui
recueillent des échantillons de virus informatiques et d’autres programmes informatiques malveillants, ainsi que
des objets suspects, problématiques, potentiellement indésirables ou potentiellement dangereux comme des
fichiers, des adresses URL, des datagrammes IP et des secteurs Ethernet (« Infiltrations ») et les envoie par la suite
au Fournisseur. Les données envoyées incluent, mais sans s'y limiter des renseignements sur le processus
d’installation, l’ordinateur et/ou la plateforme sur laquelle le Logiciel est installé, les renseignements sur les
opérations et la fonctionnalité du Logiciel (« Renseignements »). Les Renseignements et les Infiltrations
pourraient contenir des données (incluant des données personnelles obtenues aléatoirement ou
accidentellement) sur l’Utilisateur final ou d’autres utilisateurs de l’ordinateur sur lequel le Logiciel est installé
ainsi que les fichiers visés par les Infiltrations avec les métadonnées associées.
Les Renseignements et les Infiltrations pourraient être recueillies par les fonctions du Logiciel suivantes :
i. La fonction LiveGrid Reputation System inclut la collecte et l'envoi de hachage à sens unique lié aux Infiltrations
au Fournisseur. Cette fonction est activée sous les paramètres standard du Logiciel.
ii. La fonction LiveGrid Feedback System inclut la collecte et l'envoi d'infiltrations avec les métadonnées associées
et les informations au Fournisseur. Cette fonction peut être activée par l'utilisateur final pendant le processus
d'installation du logiciel.
Le Fournisseur utilisera les Informations et les Infiltrations reçues uniquement à des fins d'analyse et de recherche
d'infiltrations, d'amélioration du Logiciel et de vérification de l'authenticité des Licences et prendra les mesures
appropriées pour s'assurer que les Infiltrations et les Informations reçues restent sécurisées. En activant cette
fonction du Logiciel, les Infiltrations et les Informations peuvent être collectées et traitées par le Fournisseur
comme spécifié dans la Politique de Confidentialité et en conformité avec les réglementations légales pertinentes.
Vous pouvez désactiver ces fonctions à tout moment.
Aux fins du présent contrat, il est nécessaire de collecter, de traiter et de stocker les données permettant au
fournisseur de vous identifier conformément à la politique de confidentialité. Vous reconnaissez par la présente
que le Fournisseur vérifie, en utilisant ses propres moyens, si vous utilisez le Logiciel conformément aux
dispositions du présent Contrat. Vous reconnaissez par la présente qu'aux fins du présent Contrat, il est
287
nécessaire que vos données soient transférées pendant la communication entre le Logiciel et les systèmes
informatiques du Fournisseur ou de ses partenaires commerciaux dans le cadre du réseau de distribution et
d'asssitance du Fournisseur afin d'assurer le bon fonctionnement du logiciel et l'autorisation d'utiliser le logiciel
ainsi que la protection des droits du fournisseur.
Après la conclusion du présent accord, le Fournisseur ou l'un de ses partenaires faisant partie du réseau de
distribution et d'assistance du Fournisseur aura le droit de transférer, de traiter et de stocker les données
essentielles vous identifiant à des fins de facturation, d'exécution du contrat et de transmission de notifications.
Vous trouverez des informations détaillées sur la confidentialité, la protection des données personnelles et vos
droits en tant que personne concernée dans la politique de confidentialité, disponible sur le site Web du
Fournisseur et accessible directement depuis le processus d'installation. Vous pouvez également le visiter à
partir de la section d'aide du logiciel.
5. Exercice des droits de l’Utilisateur final. Vous devez exercer les droits de l’Utilisateur final en personne ou par
l’intermédiaire de vos employés. Vous n’êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos
opérations et protéger les systèmes informatiques pour lesquels vous avez obtenu une Licence.
6. Limitations aux droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux
dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel :
a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à
condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes
les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat.
b) Vous n’êtes pas autorisé à utiliser, à modifier, à traduire, à reproduire ou à transférer les droits d’utilisation du
Logiciel ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat.
c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour
offrir des services commerciaux.
d) Vous ne pouvez pas désosser, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de
découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi.
e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans
laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits
de propriété intellectuelle.
f) Vous convenez de n’utiliser le logiciel et ses fonctionnalités que de façon à ne pas limiter la possibilité, pour les
autres utilisateurs finaux, d’accéder à ces services. Le Fournisseur se réserve le droit de limiter la portée des
services fournis à certains utilisateurs finaux pour en permettre l’utilisation par le plus grand nombre possible
d’utilisateurs finaux. Limiter la portée des services fournis signifie aussi pouvoir mettre fin à la possibilité d’utiliser
l’une des fonctionnalités du logiciel et supprimer les données et informations stockées sur les serveurs du
Fournisseur ou de tiers relativement à une fonctionnalité spécifique du logiciel.
g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la clé de licence, contrairement aux
termes du présent Contrat ou conduisant à fournir une clé de licence à toute personne qui n'a pas le droit
d'utiliser le logiciel, comme le transfert de clé de licence sous quelque forme que ce soit, ainsi que la reproduction
non autorisée ou la distribution de clés de licence dupliquées ou générées ou l'utilisation du logiciel suite à
l'utilisation d'une clé de licence obtenue d'une source autre que le fournisseur.
7. Droits d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété
intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. Ils sont protégés par les dispositions
288
des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La
structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations
confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel,
sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent
Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel.
Si vous désossez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le code
source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi obtenues
doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès que de telles
données sont connues, indépendamment des droits du Fournisseur relativement à la violation du présent
Contrat.
8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui vous
sont expressément garantis en vertu des conditions du présent Contrat en tant qu’Utilisateur final du Logiciel.
9. Versions multilingues, logiciel sur plusieurs supports, multiples copies. Si le Logiciel est utilisé sur plusieurs
plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le
Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une
Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des
versions ou des copies du Logiciel que vous n’utilisez pas.
10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous
pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos
frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée fournie par le Fournisseur ou
ses partenaires commerciaux. Votre droit d’utiliser le Logiciel et l’une de ses fonctionnalités peut être soumis à la
Politique de fin de vie. Une fois que le Logiciel ou l’une de ses fonctionnalités a atteint la date de fin de vie définie
dans la Politique de fin de vie, votre droit d’utiliser le Logiciel prendra fin. Quelle que soit la façon dont ce Contrat
se termine, les dispositions énoncées aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée
illimitée.
11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE
LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU
IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE
LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION
OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE
VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE
À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR
NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE
LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE
RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET
POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS.
12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent
Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence.
13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR,
SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE
QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU
SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE
DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE
GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE
D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE
RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME
289
SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE.
CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA
LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES
CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE.
14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant
comme client si l’exécution y est contraire.
15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur
discrétion, sans garantie ni déclaration solennelle. Aucune assistance technique ne sera fournie après que le
Logiciel ou l'une de ses fonctionnalités a atteint la date de fin de vie telle que définie dans la politique de fin de
vie. L’Utilisateur final devra peut-être sauvegarder toutes les données, logiciels et programmes existants avant
que l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en aucun cas tenus
responsables d’un quelconque dommage ou d’une quelconque perte de données, de biens, de logiciels ou de
matériel, ou d’une quelconque perte de profit en raison de la fourniture de l’assistance technique. ESET et/ou les
tiers mandatés par ESET se réservent le droit de décider si l’assistance technique couvre la résolution du
problème. ESET se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa
discrétion. Des informations de licence ainsi que des informations et d'autres données conformes à la politique de
confidentialité peuvent être exigées aux fins de l'assistance technique.
16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins
d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur final n’est autorisé qu’à transférer
de façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur final avec
l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i)
l’Utilisateur final d’origine ne conserve aucune copie du Logiciel; (ii) le transfert des droits est direct, c’est-à-dire
qu’il s’effectue directement de l’Utilisateur final original au nouvel Utilisateur final; (iii) le nouvel Utilisateur final
assume tous les droits et devoirs de l’Utilisateur final d’origine en vertu du présent Contrat; (iv) l’Utilisateur final
d’origine transmet au nouvel Utilisateur final toute la documentation permettant de vérifier l’authenticité du
Logiciel, conformément à l’article 17.
17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d’utilisation du Logiciel
de l’une des façons suivantes : (i) au moyen d’un certificat de Licence émis par le Fournisseur ou un tiers mandaté
par le Fournisseur; (ii) au moyen d’un Contrat de Licence écrit, si un tel contrat a été conclu; (iii) en soumettant un
courriel envoyé par le Fournisseur contenant les renseignements sur la Licence (nom d’utilisateur et mot de
passe). Les informations de licence et les données d'identification de l'utilisateur final peuvent être requises
conformément à la politique de confidentialité aux fins de vérification de l'authenticité du logiciel.
18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs
publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans
le présent Contrat.
19. Conformité aux contrôles à l'exportation.
a) Vous ne devez pas, directement ou indirectement, exporter, réexporter, transférer ni donner accès au logiciel
de quelque manière que ce soit à toute personne, ni l'utiliser de quelque manière que ce soit, ni être impliqué
dans un acte qui pourrait avoir pour conséquence qu'ESET ou ses sociétés holding, ses filiales et les filiales de ses
sociétés holding, ainsi que les entités contrôlées par ses sociétés holding (« affiliés ») violent les lois sur le
contrôle à l'exportation ou en subissent des conséquences négatives, ce qui comprend :
i. toute loi qui contrôle, restreint ou impose des exigences de licence pour l'exportation, la réexportation ou le
transfert de biens, de logiciels, de technologies ou de services, émise ou adoptée par un gouvernement, un État
ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union
européenne ou de l'un de ses États membres, ou de tout pays dans lequel des obligations au titre de l'accord
290
doivent être exécutées, ou dans lequel ESET ou l'une de ses sociétés affiliées sont constituées ou exercent leurs
activités et
ii. toute sanction, restriction, embargo, interdiction d'importation ou d'exportation, interdiction de transfert de
fonds ou d'actifs ou de prestation de services, ou mesure équivalente imposée par un gouvernement, un État ou
un organisme de réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union
européenne ou de l'un de ses États membres, ou de tout pays dans lequel des obligations au titre de l'accord
doivent être exécutées, ou dans lequel ESET ou l'une de ses sociétés affiliées sont constituées ou exercent leurs
activités (« lois de sanction »), de nature économique, financière, commerciale ou autre.
(actes juridiques mentionnés aux points i et ii ci-dessus, ensemble, les « Lois sur le contrôle du commerce »).
b) ESET a le droit de suspendre ses obligations au titre des présentes conditions, ou de les résilier avec effet
immédiat dans le cas où :
i. ESET détermine que, selon son avis raisonnable, l'utilisateur a violé ou est susceptible de violer la disposition de
l'article 19 a) de l'accord; ou
ii. l'utilisateur final et/ou le logiciel deviennent soumis aux lois sur le contrôle des exportations et, en
conséquence, ESET détermine que, selon son opinion raisonnable, l'exécution continue de ses obligations en
vertu de l'accord pourrait avoir pour conséquence qu'ESET ou ses affiliés violent les lois de contrôle du commerce
ou en subissent des conséquences négatives.
c) Rien dans l'accord n'est destiné, et rien ne doit être interprété ni compris comme étant destiné à inciter ou à
obliger l'une ou l'autre des parties à agir ou à s'abstenir d'agir (ou à accepter d'agir ou de s'abstenir d'agir) d'une
manière qui soit incompatible avec les lois de contrôle du commerce applicables, réprimée ou interdite.
20. Avis. Tous les avis et les retours du Logiciel et de la Documentation doivent être adressés à ESET, spol. s r. o.,
Einsteinova 24, 85101 Bratislava, Slovak Republic, sans préjudice du droit d'ESET de Vous communiquer toute
modification du présent Contrat, des Politiques de confidentialité, de la Politique de fin de vie et de la
Documentation conformément à l'article 22 du Contrat. ESET peut vous envoyer des courriels, des notifications
dans l'application par le biais du logiciel ou publier la communication sur son site Web. Vous acceptez de recevoir
des communications légales d'ESET sous forme électronique, y compris toute communication sur la modification
des Conditions, des Conditions spéciales ou des Politiques de confidentialité, toute proposition/acceptation de
contrat ou invitation à négocier, avis ou autres communications légales. Cette communication électronique sera
considérée comme reçue par écrit, à moins qu'une forme différente de communication soit spécifiquement
requise par les lois applicables.
21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à
celle-ci. L’Utilisateur final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable et
la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent
pas. Vous acceptez expressément que le tribunal de Bratislava I., Slovaquie, arbitre tout litige ou conflit avec le
Fournisseur ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a
la juridiction pour de tels litiges ou conflits.
22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera pas
la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu
des conditions stipulées dans le présent Contrat. Le présent Contrat a été signé en anglais. Dans le cas où une
traduction du présent Contrat est préparée pour des raisons de commodité ou pour toute autre raison, ou dans le
cas d'une divergence entre les versions linguistiques du présent Contrat, la version anglaise prévaudra.
ESET se réserve le droit d'apporter des modifications au Logiciel ainsi que de réviser les conditions du présent
Contrat, de ses Annexes, des Addenda, de la Politique de Confidentialité, de la Politique de fin de vie et de la
291
Documentation ou toute partie de ceux-ci à tout moment en mettant à jour le document concerné (i) pour
refléter les modifications apportées au Logiciel ou à la façon dont ESET fait des affaires, (ii) pour des raisons
légales, réglementaires ou de sécurité, ou (iii) pour prévenir les abus ou les dommages. Vous serez informé de
toute révision du Contrat par courriel, par notification dans l'application ou par d'autres moyens électroniques. Si
vous n’êtes pas d’accord avec les modifications proposées au Contrat, vous pouvez le résilier conformément à
l’article 10 dans les 30 jours suivant la réception d’un avis de modification. À moins que vous ne résiliiez le Contrat
dans ce délai, les modifications proposées seront réputées acceptées et entreront en vigueur à votre égard à la
date à laquelle vous avez reçu un avis de changement.
Ceci constitue le Contrat total entre le Fournisseur et vous relativement au Logiciel et remplace l'ensemble des
précédentes déclarations, discussions, promesses, communications ou publicités concernant le Logiciel.
EULAID: EULA-PRODUCT-LG; 3537.0
Politique de confidentialité
La protection des données personnelles est d’une importance particulière pour ESET, spol. s r. o., ayant son siège
social à Einsteinova 24, 851 01 Bratislava, Slovak Republic, enregistré au registre du commerce administré par le
tribunal de district de Bratislava I, section Sro, insertion numéro 3586/B, numéro d’enregistrement de
l’entreprise : 31333532 en tant que responsable du traitement des données (« ESET » ou « nous »). Nous voulons
nous conformer à l’exigence de transparence telle qu'elle est légalement normalisée par le Règlement général sur
la protection des données (« RGPD ») de l’UE. À cette fin, nous publions cette politique de confidentialité dans le
seul but d'informer notre client (« utilisateur final » ou « vous ») en tant que personne concernée sur les sujets
suivants relatifs à la protection des données personnelles :
Base juridique du traitement des données personnelles,
Partage des données et confidentialité
Sécurité des données,
Vos droits en tant que personne concernée,
Traitement des données personnelles
Information de contact.
Traitement des données personnelles
Les services fournis par ESET mis en œuvre dans notre produit sont fournis conformément aux conditions du
CLUF, mais certaines d'entre elles peuvent nécessiter une attention particulière. Nous aimerions vous fournir plus
de détails sur la collecte de données liées à la fourniture de nos services. Nous fournissons différents services
décrits dans le CLUF et la documentation. À cette fin, nous devons recueillir les renseignements suivants :
Mise à jour et autres statistiques couvrant les informations concernant le processus d'installation et votre
ordinateur y compris la plate-forme sur laquelle notre produit est installé et les informations sur les
opérations et les fonctionnalités de nos produits tels que le système d'exploitation, les informations sur le
matériel, l'ID d'installation et les paramètres de configuration du produit.
Des hachages unidirectionnels liés aux infiltrations dans le cadre du système de réputation ESET LiveGrid®
améliorent l'efficacité de nos solutions anti-logiciel malveillant en comparant les fichiers analysés à une
base de données d'éléments en liste blanche et en liste noire dans le nuage.
Des échantillons suspects et des métadonnées existants dans le cadre du système de rétroaction ESET
LiveGrid®, qui permettent à ESET de réagir immédiatement aux besoins de nos utilisateurs finaux et de
rester réactif face aux dernières menaces. Nous comptons sur Vous pour nous envoyer
des infiltrations telles que des échantillons potentiels de virus et d’autres programmes malveillants
292
et suspects; des objets problématiques, potentiellement indésirables ou potentiellement dangereux,
tels que des fichiers exécutables, des messages électroniques signalés par vous comme pourriel ou
marqués par notre produit;
des renseignements sur les périphériques du réseau local tels que le type, le fournisseur, le modèle
et/ou le nom du périphérique;
des renseignements concernant l'utilisation d'Internet telles que l'adresse IP et les informations
géographiques, les paquets IP, les URL et les trames ethernet;
les fichiers de vidage sur incident et les informations qu’il contient.
Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais il est parfois impossible de l'éviter. Les
données collectées accidentellement peuvent être incluses dans les logiciels malveillants eux-mêmes (collectées à
votre insu ou sans votre accord) ou dans des noms de fichiers ou des URL. Nous ne souhaitons pas qu'elles fassent
partie de nos systèmes; nous ne les traitons pas non plus aux fins déclarées dans la présente politique de
confidentialité.
Les informations de licence telles que l'ID de licence et les données personnelles telles que le nom, le nom
de famille, l'adresse, l'adresse de courriel sont nécessaires à des fins de facturation, de vérification de
l'authenticité de la licence et de la fourniture de nos services.
Les coordonnées et les données contenues dans vos demandes d'assistance peuvent être nécessaires au
service d'assistance. En fonction du moyen que vous choisissez pour nous contacter, nous pouvons
recueillir votre adresse de courriel, votre numéro de téléphone, les renseignements de licence, les détails
du produit et la description de votre dossier d'assistance. Vous pouvez être invité à nous fournir d'autres
renseignements pour faciliter le service d'assistance.
Partage des données et confidentialité
Nous ne partageons pas vos données avec des tiers. Cependant, ESET est une société qui opère à l’échelle
mondiale par l’intermédiaire de sociétés affiliées ou de partenaires dans le cadre de notre réseau de vente, de
service et de soutien. Les informations de licence, de facturation et d'assistance technique traitées par ESET
peuvent être transférées vers et depuis des sociétés affiliées ou des partenaires aux fins de l'exécution du CLUF,
par exemple en fournissant des services ou une assistance.
ESET préfère traiter ses données dans l’Union européenne (UE). Cependant, en fonction de votre emplacement
(utilisation de nos produits et/ou services en dehors de l’UE) et/ou du service que vous choisissez, il peut être
nécessaire de transférer vos données vers un pays en dehors de l’UE. Par exemple, nous utilisons des services
tiers pour l’informatique en nuage. Dans ces cas, nous sélectionnons soigneusement nos fournisseurs de services
et garantissons un niveau approprié de protection des données par des mesures contractuelles, techniques et
organisationnelles. En règle générale, nous adoptons les clauses contractuelles types de l'UE et, si nécessaire, des
dispositions contractuelles complémentaires.
Pour certains pays hors de l'UE, comme le Royaume-Uni et la Suisse, l'UE a déjà déterminé un niveau comparable
de protection des données. En raison du niveau comparable de protection des données, le transfert de données
vers ces pays ne nécessite aucune autorisation ni accord spécial.
Droits de la personne concernée
Les droits de chaque utilisateur final sont importants et nous aimerions vous informer que tous les utilisateurs
finaux (de n'importe quel pays de l'UE ou hors de l'UE) ont les droits suivants garantis par ESET. Pour faire valoir
les droits de la personne concernée, vous pouvez nous contacter par le biais du formulaire d'assistance ou par
courriel à l'adresse suivante dpo@eset.sk. À des fins d’identification, nous vous demandons les informations
suivantes : Nom, adresse de courriel et (si disponible) clé de licence ou numéro de client et entreprise à laquelle
vous appartenez. Veuillez vous abstenir de nous envoyer d'autres données personnelles, telles que la date de
293
naissance. Nous tenons à souligner que pour pouvoir traiter votre demande, ainsi qu'à des fins d'identification,
nous traiterons vos données personnelles.
Droit de retrait du consentement. Le droit de retirer le consentement est applicable uniquement dans le cas où le
traitement est autorisé moyennant le consentement. Si Nous traitons vos données personnelles moyennant votre
consentement, vous avez le droit de retirer ce consentement à tout moment, sans donner de raisons. Le retrait
de votre consentement n'est effectif que pour l'avenir et n'affecte pas la légalité des données traitées avant le
retrait.
Droit d'oposition. Le droit de s'opposer au traitement est applicable en cas de traitement fondé sur l'intérêt
légitime d'ESET ou d'un tiers. Si Nous traitons vos données personnelles pour protéger un intérêt légitime, Vous,
en tant que personne concernée, avez le droit de vous opposer à l'intérêt légitime tel que nous l'identifions et au
traitement de vos données personnelles à tout moment. Votre opposition est effective uniquement pour l'avenir
et n'affecte pas la légalité des traitement de données effectués avant l'opposition. Si nous traitons vos données
personnelles à des fins de marketing direct, il n'est pas nécessaire de motiver votre objection. Cela s'applique
également au profilage, dans la mesure où il est lié à ce marketing direct. Dans tous les autres cas, nous vous
demandons de nous informer brièvement de vos plaintes contre l'intérêt légitime d'ESET à traiter vos données
personnelles.
Veuillez noter que dans certains cas, malgré le retrait de votre consentement, nous avons le droit de traiter
ultérieurement vos données personnelles en nous fondant sur une autre base juridique, par exemple, pour
l'exécution d'un contrat.
Droit d’accès. En tant que personne concernée, vous avez le droit d'obtenir gratuitement et à tout moment des
informations sur vos données stockées par ESET.
Droit à la rectification. Si nous traitons par inadvertance des données personnelles incorrectes vous concernant,
vous avez le droit de les faire corriger.
Droit à la suppression et droit à la restriction du traitement. En tant que personne concernée, vous avez le droit
de demander la suppression ou la restriction du traitement de vos données personnelles. Par exemple, si nous
traitons vos données personnelles avec votre consentement, que vous retirez ce consentement et qu'il n'existe
aucune autre base juridique, par exemple un contrat, nous supprimons immédiatement vos données
personnelles. Vos données personnelles seront également supprimées dès qu'elles ne seront plus nécessaires aux
fins énoncées à la fin de notre période de conservation.
Si nous utilisons vos données personnelles dans le seul but de marketing direct et que vous avez révoqué votre
consentement ou que vous vous êtes opposé à l'intérêt légitime sous-jacent d'ESET, nous limiterons le traitement
de vos données personnelles dans la mesure où nous incluons vos coordonnées dans notre liste noire interne afin
d'éviter tout contact non sollicité. Dans les autres cas, vos données personnelles seront supprimées.
Veuillez noter que Nous pouvons être tenus de conserver vos données jusqu'à l'expiration des obligations et des
périodes de conservation émises par le législateur ou les autorités de contrôle. Les obligations et les périodes de
conservation peuvent également résulter de la législation slovaque. Par la suite, les données correspondantes
seront systématiquement supprimées.
Le droit à la portabilité des données. Nous sommes heureux de vous fournir, en tant que personne concernée,
les données personnelles traitées par ESET au format xls.
Droit de déposer une plainte. En tant que personne concernée, vous avez le droit de déposer une plainte auprès
d’une autorité de surveillance à tout moment. ESET est soumis à la réglementation des lois slovaques et nous
sommes liés par la législation sur la protection des données dans le cadre de l'Union européenne. L’autorité de
surveillance des données compétente est l'Office for Personal Data Protection of the Slovak Republic (Office pour
294
la protection des données personnelles de la République slovaque), dont l’adresse est Hraničná 12, 82007
Bratislava 27, Slovak Republic.
Information de contact
Si vous souhaitez exercer votre droit en tant que personne concernée ou si vous avez une question ou une
préoccupation, envoyez-nous un message à l'adresse suivante :
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
Slovak Republic
dpo@eset.sk
295

Fonctionnalités clés

  • Protection antivirus et antispyware
  • Protection anti-spam
  • Protection anti-hameçonnage
  • Analyse de la base de données de boîtes aux lettres
  • Protection du transport de messagerie

Manuels associés

Réponses et questions fréquentes

Comment puis-je installer ESET Mail Security for Exchange Server 10.0 ?
ESET Mail Security for Exchange Server 10.0 peut être installé à l'aide de l'assistant d'installation. Commencez par télécharger le fichier d'installation à partir du site Web d'ESET. Ensuite, exécutez le fichier d'installation et suivez les instructions à l'écran. Vous pouvez également consulter le chapitre "Préparation à l'installation" de ce guide de l'utilisateur pour plus d'informations.
Que se passe-t-il si une menace est détectée ?
Si une menace est détectée, ESET Mail Security for Exchange Server 10.0 la mettra en quarantaine. Vous pouvez ensuite choisir de supprimer la menace ou de la restaurer. Vous pouvez également configurer ESET Mail Security pour Exchange Server 10.0 afin qu'il prenne des mesures spécifiques si une menace est détectée, par exemple, envoyer un rapport d'incident.
Comment puis-je mettre à jour ESET Mail Security for Exchange Server 10.0 ?
ESET Mail Security for Exchange Server 10.0 peut être mis à jour automatiquement. Vous pouvez également le mettre à jour manuellement à partir de l'interface utilisateur du programme. Pour plus d'informations sur la mise à jour, consultez le chapitre "Mettre à jour" de ce guide de l'utilisateur.