ESET Mail Security for Exchange Server 11.1 Manuel du propriétaire

ESET Mail Security 11.1
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Copyright ©2025 d'ESET, spol. s r.o.
ESET Mail Security 11.1 a été développé par ESET, spol. s r.o.
Pour plus d’informations, consultez le site https://www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de
restitution ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique,
photocopie, enregistrement, numérisation ou autre) sans l’autorisation écrite de l’auteur.
ESET, spol. s r.o. se réserve le droit de modifier les logiciels décrits sans préavis.
Assistance technique : https://support.eset.com
RÉV. 20/01/2025
1 Aperçu ............................................................................................................................................... 1
1.1 Caractéristiques principales ......................................................................................................... 1
1.2 Nouveautés ............................................................................................................................... 4
1.3 Flux de courriels ......................................................................................................................... 5
1.4 Modules de protection ................................................................................................................ 6
1.5 Sécurité multicouche .................................................................................................................. 7
1.5 Protection de la base de données de messagerie ..................................................................................... 7
1.5 Protection du transport de messagerie ................................................................................................ 8
1.5 Analyse de la base de données de boîtes de courriels à la demande ................................................................ 8
1.5 L’analyse de base de données de boîtes aux lettres Microsoft 365 .................................................................. 9
2 Spécifications .................................................................................................................................. 10
2.1 Exigences système ................................................................................................................... 10
2.2 Caractéristiques de ESET Mail Security et rôles du serveur Exchange ............................................. 11
2.3 Rôles du serveur Exchange ........................................................................................................ 11
3 Installer / Mettre à niveau ............................................................................................................... 12
3.1 Préparation à l’installation ........................................................................................................ 12
3.2 Étapes d'installation de ESET Mail Security .................................................................................. 14
3.2 Exporter les paramètres ou supprimer l'installation ................................................................................ 17
3.2 Mise à jour initiale des modules ...................................................................................................... 18
3.3 Installation si licencieuse / sans assistance ................................................................................. 19
3.3 Installation de la ligne de commande ................................................................................................ 20
3.4 Mettre à niveau vers la version la plus récente? ........................................................................... 23
3.4 Mise à niveau à l'aide de la grappe ESET ............................................................................................ 24
3.4 Mettre à niveau à l'aide d'ESET PROTECT ........................................................................................... 27
3.5 Installation dans un environnement en grappe ............................................................................ 28
3.6 Environnement multiserveur / DAG ............................................................................................. 28
4 Activation d'ESET Mail Security ....................................................................................................... 29
4.1 Activation réussie ..................................................................................................................... 30
4.2 Compte ESET PROTECT Hub ....................................................................................................... 30
4.3 Échec de l'activation ................................................................................................................. 30
4.4 Licence .................................................................................................................................... 31
5 Démarrer ......................................................................................................................................... 31
5.1 Tâches post-installation ............................................................................................................ 32
5.2 Rapports ................................................................................................................................. 32
5.3 Gérer ESET Mail Security à distance ............................................................................................ 32
5.4 Gestion des vulnérabilités et des correctifs ESET ......................................................................... 33
5.5 Surveillance ............................................................................................................................. 34
5.5 Mise à jour Windows disponible ...................................................................................................... 36
5.5 Isolement réseau ..................................................................................................................... 37
6 Utiliser ESET Mail Security .............................................................................................................. 38
6.1 Fichiers journaux ...................................................................................................................... 38
6.1 Filtrage des journaux ................................................................................................................. 42
6.2 Analyser .................................................................................................................................. 44
6.2 Fenêtre Analyse et journal d'analyse ................................................................................................ 46
6.3 Mise à jour ............................................................................................................................... 48
6.4 Quarantaine de messages ......................................................................................................... 49
6.5 Configuration ........................................................................................................................... 53
6.5 Serveur ................................................................................................................................ 54
6.5 Cluster ................................................................................................................................. 56
6.5 Assistant Cluster - Sélectionner des nœuds ......................................................................................... 57
........................................................................................... 58
......................................................................... 59
6.5 Assistant Cluster - Vérification des nœuds .......................................................................................... 59
6.5 Assistant Cluster - Installation des nœuds ........................................................................................... 61
6.5 Ordinateur ............................................................................................................................. 63
6.5 Réseau ................................................................................................................................ 65
6.5 Connexions réseau ................................................................................................................... 66
6.5 Configuration de la protection du réseau ............................................................................................ 66
6.5 Résoudre les communications bloquées ............................................................................................. 68
6.5 Internet et messagerie ............................................................................................................... 68
6.5 Outils - Journalisation des données de diagnostic ................................................................................... 69
6.5 Importer et exporter les paramètres ................................................................................................. 70
6.6 Outils ...................................................................................................................................... 71
6.6 Processus en cours ................................................................................................................... 72
6.6 Statistiques de protection ............................................................................................................ 74
6.6 ESET Shell ............................................................................................................................. 76
6.6 Utilisation ............................................................................................................................. 77
6.6 Commandes ........................................................................................................................... 83
6.6 Raccourcis clavier ..................................................................................................................... 86
6.6 Fichiers de commandes/scripts ...................................................................................................... 86
6.6 ESET LiveGuard Advanced ........................................................................................................... 87
6.6 ESET SysInspector .................................................................................................................... 89
6.6 Planificateur ........................................................................................................................... 90
6.6 Planificateur - Ajouter une tâche ..................................................................................................... 91
6.6 Type de tâche ......................................................................................................................... 94
6.6 Exécution de tâche ................................................................................................................... 95
6.6 Déclenchée par un événement ...................................................................................................... 96
6.6 Exécuter l’application ................................................................................................................. 96
6.6 Tâche ignorée ......................................................................................................................... 96
6.6 Rapport sur la protection du serveur de messagerie ............................................................................... 97
6.6 Aperçu des tâches planifiées ......................................................................................................... 97
6.6 Soumettre les échantillons pour analyse ............................................................................................ 98
6.6 Fichier suspect ........................................................................................................................ 99
6.6 Site suspect ........................................................................................................................... 99
6.6 Fichier faux positif .................................................................................................................. 100
6.6 Site faux positif ..................................................................................................................... 100
6.6 Autre ................................................................................................................................ 100
6.6 Quarantaine ......................................................................................................................... 101
6.7 Assistant d’analyse des boîtes aux lettres Microsoft 365 ............................................................ 102
6.7 Enregistrer l’analyseur ESET Mail Security ........................................................................................ 103
6.7 Annuler l’enregistrement de l’analyseur ESET Mail Security ..................................................................... 106
7 Configuration avancée .................................................................................................................. 108
7.1 Serveur ................................................................................................................................. 109
7.1 Configuration de la priorité de l'agent ............................................................................................. 110
7.1 Antivirus et antispyware ............................................................................................................ 111
7.1 Protection antipourriel .............................................................................................................. 112
7.1 Filtrage et vérification .............................................................................................................. 114
7.1 Les paramètres avancés de l'antipourriel ......................................................................................... 117
7.1 Paramètres de mise en liste grise .................................................................................................. 120
7.1 SPF et DKIM ......................................................................................................................... 121
7.1 Protection contre la rétrodiffusion ................................................................................................. 124
6.5 Assistant Cluster - Paramètres du cluster
6.5 Assistant Cluster - Paramètres de configuration du cluster
......................................................................... 125
...................................................................................................... 127
7.1 Règles ............................................................................................................................... 128
7.1 Condition de la règle ................................................................................................................ 131
7.1 Action de la règle ................................................................................................................... 133
7.1 Exemples de règles ................................................................................................................. 134
7.1 Protection du transport de messagerie ............................................................................................ 137
7.1 Paramètres avancés du transport du courriel ..................................................................................... 140
7.1 Protection de la base de données de messagerie ................................................................................. 141
7.1 Analyse en arrière-plan ............................................................................................................. 143
7.1 Analyse de la base de données de boîtes de courriels à la demande ............................................................ 143
7.1 Analyse de la base de données de la boîte de courriels .......................................................................... 145
7.1 Analyse des boîtes aux lettres Microsoft 365 ...................................................................................... 148
7.1 Éléments de boîte de courriel supplémentaires ................................................................................... 149
7.1 Serveur mandataire ................................................................................................................ 150
7.1 Détails du compte d'analyse de la base de données .............................................................................. 150
7.1 Types de quarantaine de courriels ................................................................................................. 152
7.1 Quarantaine locale .................................................................................................................. 153
7.1 Stockage de fichiers ................................................................................................................ 154
7.1 Interface Web ....................................................................................................................... 154
7.1 Envoyer les rapports de quarantaine de courriel - tâche planifiée ............................................................... 160
7.1 Interface Web de la quarantaine de courriels pour l'utilisateur .................................................................. 162
7.1 Courriel de quarantaine et quarantaine de MS Exchange ........................................................................ 164
7.1 Paramètres du gestionnaire de quarantaine ...................................................................................... 165
7.1 Serveur mandataire ................................................................................................................ 166
7.1 Détails du compte du gestionnaire de la quarantaine ............................................................................ 166
7.1 Signature DKIM ..................................................................................................................... 167
7.1 Test antivirus ........................................................................................................................ 169
7.1 Test antipourriel .................................................................................................................... 169
7.1 Test antihameçonnage ............................................................................................................. 170
7.2 Computer .............................................................................................................................. 170
7.2 Détection par l'apprentissage machine ............................................................................................ 171
7.2 Exclusions ........................................................................................................................... 175
7.2 Exclusions de performance ......................................................................................................... 176
7.2 Exclusions de détection ............................................................................................................ 177
7.2 Assistant Créer une exclusion ...................................................................................................... 179
7.2 Options avancées ................................................................................................................... 179
7.2 Exclusions automatiques ........................................................................................................... 180
7.2 Une infiltration est détectée ........................................................................................................ 181
7.2 Protection en temps réel du système de fichiers .................................................................................. 182
7.2 ThreatSenseParamètres ............................................................................................................ 184
7.2 Autres paramètres ThreatSense ................................................................................................... 187
7.2 Extensions de fichier exclues de l'analyse ......................................................................................... 188
7.2 Exclusions des processus ........................................................................................................... 188
7.2 Protection dans le cloud ............................................................................................................ 189
7.2 Filtre d’exclusion .................................................................................................................... 191
7.2 Analyses des logiciels malveillants ................................................................................................ 192
7.2 Gestionnaire de profils .............................................................................................................. 193
7.2 Cibles du profil ...................................................................................................................... 193
7.2 Cibles à analyser .................................................................................................................... 195
7.2 Analyse en cas d'inactivité ......................................................................................................... 197
7.1 Protection contre l’usurpation d’identité de l’expéditeur
7.1 Protection anti-hameçonnage
.............................................................................................................. 197
.............................................................................. 198
7.2 Supports amovibles ................................................................................................................. 199
7.2 Protection des documents .......................................................................................................... 200
7.2 Analyse Hyper-V .................................................................................................................... 200
7.2 HIPS ................................................................................................................................. 203
7.2 Paramètres de règle HIPS .......................................................................................................... 205
7.2 Configurations avancées de HIPS .................................................................................................. 207
7.3 Configuration des mises à jour ................................................................................................. 208
7.3 Restauration des mises à jour ...................................................................................................... 212
7.3 Tâche planifiée : mise à jour ....................................................................................................... 213
7.3 Miroir de mise à jour ................................................................................................................ 214
7.4 Protection de l'accès réseau .................................................................................................... 216
7.4 Profil de connexion réseau ......................................................................................................... 216
7.4 Ajout ou modification d'un profil de connexion réseau ........................................................................... 217
7.4 Activateurs .......................................................................................................................... 217
7.4 Jeux d’adresses IP ................................................................................................................... 217
7.4 Protection contre les attaques réseau ............................................................................................. 218
7.4 Règles IDS ........................................................................................................................... 219
7.4 Blocage d'un menace soupçonné .................................................................................................. 220
7.4 Liste noire temporaire des adresses IP ............................................................................................ 221
7.4 Protection contre les attaques par force brute .................................................................................... 221
7.4 Règles de Protection contre les attaques par force brute ........................................................................ 222
7.4 Exclusions de la protection contre les attaques par force brute .................................................................. 222
7.5 Internet et messagerie ............................................................................................................ 223
7.5 Filtrage des protocoles ............................................................................................................. 223
7.5 Internet et clients de messagerie .................................................................................................. 224
7.5 SSL/TLS .............................................................................................................................. 224
7.5 Liste des certificats connus ........................................................................................................ 226
7.5 Communication SSL chiffrée ....................................................................................................... 226
7.5 Protection du client de messagerie ................................................................................................ 227
7.5 Protocoles de messagerie .......................................................................................................... 228
7.5 Notifications d'e-mail ............................................................................................................... 229
7.5 Barre d'outils Microsoft Outlook .................................................................................................... 230
7.5 Barre d'outils Outlook Express et Windows Mail ................................................................................... 230
7.5 Boîte de dialogue de confirmation ................................................................................................. 231
7.5 Analyser à nouveau les messages ................................................................................................. 231
7.5 Protection de l’accès Web .......................................................................................................... 231
7.5 Gestion des adresses URL .......................................................................................................... 232
7.5 Créer une liste ...................................................................................................................... 233
7.5 Protection Web antihameçonnage ................................................................................................. 235
7.6 Contrôle de périphérique ......................................................................................................... 236
7.6 Règles de périphérique ............................................................................................................. 237
7.6 Groupe de périphériques ........................................................................................................... 239
7.7 Outils de configuration ............................................................................................................ 241
7.7 Créneaux horaires .................................................................................................................. 241
7.7 Microsoft Windows Update ......................................................................................................... 242
7.7 Analyseur de ligne de commande .................................................................................................. 242
7.7 ESET CMD ........................................................................................................................... 244
7.7 ESET RMM ........................................................................................................................... 246
7.7 Licence .............................................................................................................................. 247
7.2 Analyse au démarrage
7.2 Vérification automatique des fichiers de démarrage
.................................................................................................................... 248
................................................................................................................... 248
7.7 Accès aux données fournies ........................................................................................................ 258
7.7 Cibles à analyser de la console de gestion ESET .................................................................................. 259
7.7 Mode de remplacement ............................................................................................................ 259
7.7 Fichiers journaux .................................................................................................................... 262
7.7 Mappage des événements Syslog ................................................................................................. 265
7.7 Mode de présentation .............................................................................................................. 266
7.7 Diagnostics .......................................................................................................................... 266
7.7 Assistance technique ............................................................................................................... 268
7.7 Cluster ............................................................................................................................... 268
7.8 Connectivité ........................................................................................................................... 270
7.9 Interface utilisateur ................................................................................................................ 271
7.9 Configuration de l'accès ............................................................................................................ 272
7.9 ESET Shell ........................................................................................................................... 273
7.9 Icône dans la zone de notification Windows ....................................................................................... 273
7.10 Notifications ......................................................................................................................... 274
7.10 États d'application ................................................................................................................. 275
7.10 États et messages désactivés .................................................................................................... 275
7.10 Notifications du Bureau ........................................................................................................... 275
7.10 Personnalisation ................................................................................................................... 276
7.10 Notifications du Bureau ........................................................................................................... 277
7.10 Alertes interactives ................................................................................................................ 277
7.10 Redémarrage nécessaire .......................................................................................................... 278
7.10 Transfert ........................................................................................................................... 278
7.11 Rétablir les paramètres par défaut ......................................................................................... 281
7.12 Aide et assistance ................................................................................................................. 281
7.12 Envoyer les données de configuration système ................................................................................. 282
7.12 À propos d'ESET Mail Security .................................................................................................... 283
7.13 Glossaire ............................................................................................................................. 283
8 Documents juridiques ................................................................................................................... 283
8.1 Contrat de licence de l'utilisateur final ...................................................................................... 283
8.2 Politique de confidentialité ...................................................................................................... 290
7.7 Fournisseur WMI
7.7 Données fournies
Aperçu
ESET Mail Security pour Microsoft Exchange Server est une solution intégrée qui protège les serveurs de
messagerie et les boîtes aux lettres des utilisateurs de différents types de contenu malveillant. Cela comprend les
pièces jointes infectées par des vers ou des chevaux de Troie, les documents contenant des scripts malveillants, le
hameçonnage, le pourriel, la falsification d'expéditeur et l'usurpation d'identité par courriel.
ESET Mail Security fournit quatre types de protection : L'antivirus, l'antipourriel, l'antihameçonnage et les règles.
ESET Mail Security filtre le contenu malveillant dans les bases de données des boîtes de courriels ainsi que sur la
couche de transport du courriel avant qu'il n'arrive dans la boîte de courriels du destinataire.
ESET Mail Security prend en charge les versions 2010 et ultérieures de Microsoft Exchange Server, ainsi qu'un
serveur Microsoft Exchange dans un environnement avec grappes. Les rôles particuliers d'Exchange (boîte de
courriels, Hub, Edge) sont également pris en charge.
En plus d'offrir une protection pour Microsoft Exchange Server, ESET Mail Security inclut également une
fonctionnalité permettant de s'assurer la protection du serveur lui-même (protection en temps réel du système
de fichiers, protection du réseau, protection de l'accès Web et protection du client de messagerie).
Vous pouvez gérer ESET Mail Security à distance dans des réseaux plus larges. En outre, ESET Mail Security vous
permet de l'utiliser avec des outils de surveillance et de gestion à distance (RMM) tiers.
Caractéristiques principales
Le tableau suivant fournit une liste des fonctionnalités disponibles dans ESET Mail Security.
Produit avec un
Ajout de performances et d'une stabilité supérieures aux composants principaux du
véritable noyau 64 bits produit.
Anti-logiciel malveillant Une solution de protection primée et innovante contre les logiciels malveillants. Cette
technologie de pointe empêche les attaques et élimine tous les types de menaces, y
compris les virus, les rançongiciels, les rootkit, les vers et les logiciels espions avec une
analyse basée sur le nuage pour des taux de détection encore meilleurs. Grâce à sa
faible empreinte, il utilise peu les ressources du système et ne compromet pas ses
performances. Il utilise un modèle de sécurité en couches. Chaque couche, ou phase, a
un certain nombre de technologies de base. La phase de pré-exécution comprend des
technologies telles que l'analyseur d'UEFI, la protection contre les attaques réseau, la
réputation et le cache, le bac à sable intégré au produit et les détections d'ADN. Les
technologies de la phase d'exécution sont le bloqueur d'exploit, le bouclier contre les
rançongiciels, l'analyseur de mémoire avancé et l'analyseur de script (AMSI), et la phase
post-exécution utilise la protection contre les botnets, le système de protection contre
les logiciels malveillants dans le nuage et le bac à sable. Cet ensemble de technologies
de base riche en fonctionnalités offre un niveau de protection inégalé.
1
Antipourriel
Antipourriel est un composant essentiel pour n'importe quel serveur de messagerie.
ESET Mail Security utilise un moteur antipourriel à la pointe de la technologie qui bloque
les pourriels et les tentatives d'hameçonnage avec des taux de réussite très élevés. ESET
Mail Security a consécutivement remporté le test de filtrage de pourriel par Virus
Bulletin, une autorité de test de sécurité de premier plan et reçu la certification
VBSpam+ pendant plusieurs années. Le moteur antipourriel atteint un taux de blocage
de pourriel de 99,99 % sans aucun faux positif, ce qui en fait une technologie de pointe
en matière de protection contre le pourriel. L'antispam ESET Mail Security intègre
plusieurs technologies (RBL et DNSBL, pistage par empreinte numérique unique,
vérification de la réputation, analyse du contenu, règles, ajout manuel à la liste blanche
ou à la liste noire, protection contre la rétrodiffusion et la validation des messages à
l’aide de SPF et DKIM conjointement avec ARC) pour détecter le plus grand nombre
possible de menaces. ESET Mail Security Antipourriel est basé sur le nuage et la plupart
des bases de données infonuagiques sont situées dans les centres de données d'ESET.
Les services antipouriels sur le nuage permettent la mise à jour rapide des données, ce
qui accélère le temps de réaction en cas d'apparition de nouveaux pourriels.
Protection antihameçonnage
Fonctionnalité qui empêche les utilisateurs d'accéder à des pages Web connues comme
hameçons. Dans le cas des courriels contenant des liens menant à des pages Web
d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui effectue des
recherches dans le corps et dans l'objet des courriels entrants afin d'identifier ces liens
(URL). Les liens sont comparés à la base de données d'hameçons.
Règles
Les règles permettent aux administrateurs de filtrer les courriels non désirés et les
pièces jointes en fonction de la stratégie de l'entreprise. Les pièces jointes telles que les
fichiers exécutables, les fichiers multimédias, les archives protégées par mot de
passe, etc. Différentes actions peuvent être effectuées avec les courriels filtrés et leurs
pièces jointes, telles que la mise en quarantaine, la suppression, l’envoi de notifications
ou l’inscription au journal des événements.
Exporter vers le
serveur syslog
(Arcsight)
Permet de dupliquer le contenu du journal de protection du serveur de messagerie sur
le serveur syslog au format Common Event Format (CEF) pour l'utiliser avec des
solutions de gestion de journaux telles que Micro Focus ArcSight. Les événements
peuvent être transmis à ArcSight par le biais de SmartConnector ou exportés dans des
fichiers. Cela permet de centraliser facilement la surveillance et la gestion des
événements de sécurité. Vous pouvez profiter de cette fonctionnalité surtout si vous
avez une infrastructure complexe avec un grand nombre de serveurs Microsoft
Exchange avec la solution ESET Mail Security.
Analyse des boîtes aux Pour les entreprises qui utilisent un environnement Exchange hybride, il est possible
lettres Microsoft 365 d'analyser les boites de courriels dans le nuage.
ESET LiveGuard
Advanced
Service infonuagique d'ESET. Lorsque ESET Mail Security considère un courriel comme
suspect, il est temporairement mis dans la quarantaine de ESET LiveGuard Advanced. Un
courriel suspect est automatiquement envoyé au serveur de ESET LiveGuard Advanced
qui l'analyse à l'aide de moteurs de détection de logiciels malveillants de pointe. ESET
Mail Security reçoit alors un résultat de l'analyse. Le courriel suspect est traité en
fonction du résultat.
Gestionnaire de la
L'administrateur peut inspecter des objets mis en quarantaine et décider de les
quarantaine de
supprimer ou de les libérer. Cette fonction offre un outil de gestion facile à utiliser.
courriels avec interface L'interface web de quarantaine permet la gestion à distance du contenu. Il est possible
Web
de choisir ses administrateurs et/ou de déléguer l'accès. En outre, les utilisateurs
peuvent afficher et gérer leurs propres pourriels après s'être connectés à l'interface
Web de la fonction de mise en quarantaine des messages, en ayant accès uniquement à
leurs courriels.
Rapports sur la mise en Les rapports de mise en quarantaine sont des courriels envoyés à des utilisateurs
quarantaine des
sélectionnés afin de les informer au sujet des courriels mis en quarantaine. Il leur
courriels
permet également de gérer à distance le contenu mis en quarantaine.
2
Analyse de la base de L'analyse à la demande de la base de données des boîtes de courriels donne aux
données de boîtes de administrateurs la possibilité d'analyser manuellement certaines boîtes de courriels ou
courriels à la demande de programmer l'analyse en dehors des heures de travail. L'analyseur de la base de
données des boîtes de courriels utilise l'API EWS (Exchange Web Services) pour se
connecter à Microsoft Exchange Server par l'entremise du protocole HTTP/HTTPS. De
plus, l'analyseur utilise une analyse parallèle pendant le processus d'analyse afin
d'améliorer la performance.
Grappe ESET
La grappe ESET permet de gérer plusieurs serveurs à partir d'un seul endroit. Comme
avec ESET File Security pour Microsoft Windows Server, il est possible de faciliter la
gestion grâce à la capacité de distribuer une configuration parmi tous les membres de la
grappe en reliant les nœuds de serveur à la grappe. La grappe ESET peut également être
utilisé pour synchroniser les bases de données grises et le contenu de la quarantaine de
courriel local.
Exclusions de
processus
Exclut des processus spécifiques de l'analyse anti-logiciel malveillant à l'accès. L'analyse
à l'accès anti-logiciels malveillants peut provoquer des conflits dans certaines situations,
par exemple lors d'un processus de sauvegarde ou de migrations en direct de machines
virtuelles. La fonctionnalité d'exclusion des processus aide à minimiser le risque de
conflits potentiels et améliore la performance des applications exclues, ce qui a par la
suite un effet positif sur la performance générale et la stabilité du système
d'exploitation. L'exclusion d'un processus ou d'une application est une exclusion de son
fichier exécutable (.exe).
eShell ESET Shell
eShell 2.0 est maintenant offert dans ESET Mail Security. eShell est une interface de
ligne de commande qui offre aux utilisateurs avancés et aux administrateurs des options
plus complètes pour gérer les produits ESET.
Outils de gestion à
distance ESET
ESET Mail Security peut être géré à distance à partir d’un emplacement central à l’aide
de ESET PROTECT ou ESET PROTECT On-Prem. Vous pouvez envisager d’utiliser l’un des
outils de gestion à distance ESET pour déployer des solutions ESET, gérer des tâches,
appliquer des stratégies de sécurité, surveiller l’état du système et répondre rapidement
aux problèmes ou aux menaces sur les serveurs distants.
Installation basée sur le L'installation peut être personnalisée pour ne contenir que des parties sélectionnées du
composant
produit.
Protection contre
Une nouvelle fonctionnalité qui protège contre une pratique courante consistant à
l’usurpation d’identité usurper les informations de l’expéditeur d’un courriel appelée mystification de
de l’expéditeur
l’expéditeur. Il est peu probable que le destinataire du courriel distingue un expéditeur
valide d’un expéditeur mystifié, car le courriel apparaît habituellement comme s’il avait
été envoyé à partir d’une source légitime. Vous pouvez activer et configurer la
protection contre la mystification de l’expéditeur dans la configuration avancée ou créer
des règles personnalisées.
Signature DKIM
3
ESET Mail Security fournit une fonctionnalité de signature DKIM pour améliorer encore
la sécurité des courriels sortants. Sélectionnez le certificat client et spécifiez quels entêtes de courriel sont signés avec la signature DKIM. Vous pouvez configurer la signature
DKIM pour chaque domaine séparément et pour plusieurs domaines.
ESET Gestion des
correctifs et des
vulnérabilités
Une fonctionnalité disponible dans ESET PROTECT qui vous permet de configurer une
analyse de routine sur votre serveur avec ESET Mail Security pour détecter tout logiciel
installé vulnérable aux risques de sécurité. La gestion des correctifs vous aide à vous
assurer que les systèmes et les applications sont protégés contre les vulnérabilités et les
exploits connus. Le correctif actuel est manuel, vous donnant un contrôle total du
moment où le correctif a lieu. Ceci s’inscrit dans la poursuite de la protection et de la
disponibilité en éliminant toutes les interruptions de service potentielles causées par les
mises à jour d’applications et le comportement induit par les mises à jour. ESET Mail
Security dispose d’une technologie ajustée dans les domaines suivants par rapport à
ESET Endpoint Security :
• La gestion des correctifs ne peut être effectuée que manuellement
• L’exécution de l’arrêt du processus d’application se produit 60 secondes après la
réception de la tâche de mise à niveau
• Aucune résolution automatique des demandes de redémarrage de périphérique pour
terminer le correctif
Nouveautés
Nouvelles fonctionnalités et améliorations dans ESET Mail Security :
• ESET Mail Security n'utilise plus le répertoire de collecte sur Exchange Server pour envoyer des
notifications et des rapports internes. Le répertoire de relecture est utilisé à cette fin.
• Authenticated Received Chain (ARC) relève le défi des serveurs de messagerie intermédiaires brisant les
méthodes d'authentification classiques telles que SPF ou DKIM en modifiant l'e-mail. L'antispam évalue les
en-têtes ARC dans le cadre de règles définies pour SPF, DKIM et DMARC.
• Gestion des correctifs et des vulnérabilités : vous pouvez utiliser ESET PROTECT pour exécuter une analyse
de routine sur votre serveur ESET Mail Security et ainsi détecter tout logiciel installé vulnérable aux risques
de sécurité. La gestion des correctifs vous aide à vous assurer que les systèmes et les applications sont
protégés contre les vulnérabilités et les exploits connus. L'application des correctifs est manuelle, ce qui
vous permet de contrôler totalement le moment où l'application des correctifs a lieu. La fonctionnalité
Gestion des vulnérabilités et des correctifs n'est pas disponible dans ESET PROTECT On-Prem. Gestion des
correctifs et des vulnérabilités v1.2 (analyse à la demande, fenêtre de maintenance).
• Les rapports de quarantaine de messages peuvent également être envoyés à des utilisateurs externes en
dehors du domaine.
• Autres améliorations mineures et corrections de bugs.
• Limiter les connexions RDP entrantes : fonctionnalité de restriction d'accès RDP pour ESET Mail Security
sans composant de pare-feu.
4
Si vous effectuez une nouvelle installation assistée localement sur le serveur, le paramètre Limiter les
connexions RDP entrantes à est définie sur Zone de confiance par défaut. Si vous effectuez une installation
à distance sur RDP, le paramètre Limiter les connexions RDP entrantes à est définie sur Tous les réseaux
par défaut. Ce paramètre est temporaire et permet d'éviter que votre connexion RDP ne soit coupée
jusqu'à ce que vous configuriez la zone de confiance.
Dans les deux cas, nous vous recommandons de configurer la zone de confiance afin d’inclure les réseaux,
les adresses IP ou les plages d’adresses IP à partir desquelles vous autorisez spécifiquement les connexions
RDP au serveur. Accédez à Protection de l'accès au réseau > Jeux d’adresses IP et modifiez le jeu d’adresses
IP de la zone de confiance. Après avoir configuré l’adresse IP de la zone de confiance définie selon vos
besoins, définissez le paramètre Limiter les connexions RDP entrantes à sur Zone de confiance en
remplacement de Tous les réseaux afin de sécuriser votre serveur et tirer parti de la fonctionnalité de
restriction d’accès RDP tout en faisant fonctionner le RDP au sein des réseaux de votre entreprise.
Si vous utilisez le composant pare-feu, le paramètre Limiter les connexions RDP entrantes à n’est pas
disponible. Configurez le pare-feu pour sécuriser le RDP en fonction de vos besoins.
Reportez-vous aux journaux de modifications détaillés pour ESET Mail Security.
Flux de courriels
Le diagramme suivant illustre le flux de courriels dans Microsoft Exchange Server et ESET Mail Security. Pour plus
d’informations sur l’utilisation de ESET LiveGuard Advanced avec ESET Mail Security, consultez les pages d'aide en
ligne de ESET LiveGuard Advanced.
5
Modules de protection
Les modules de protection suivants font partie des principales fonctionnalités de ESET Mail Security :
Antivirus
La protection antivirus est l'une des fonctions de base de ESET Mail Security. La protection antivirus protège le
système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier, ainsi que les
communications Internet. Si une menace impliquant un programme malveillant est détectée, le module Antivirus
peut alors l'éliminer en la bloquant, puis en nettoyant, en supprimant ou en mettant en Quarantaine l'objet
infecté.
Antipourriel
La protection antipourriel intègre plusieurs technologies (RBL, DNSBL, pistage par empreinte numérique unique,
vérification de la réputation, analyse du contenu, règles, ajout manuel à la liste blanche et à la liste noire, etc.)
pour détecter le plus grand nombre possible de menaces par courriel.
La fonctionnalité antipourriel de ESET Mail Security est basée sur le nuage et la plupart des bases de données
infonuagiques sont situées dans les centres de données d'ESET. Les services antipouriels sur le nuage permettent
la mise à jour rapide des données, ce qui accélère le temps de réaction en cas d'apparition de nouveaux pourriels.
Il permet également de supprimer des données incorrectes ou fausses des listes noires d'ESET. La communication
avec le service antipourriel infonuagique s'effectue à l'aide d'un protocole propriétaire sur le port 53535, dans la
mesure du possible. S'il n'est pas possible de communiquer à l'aide du protocole d'ESET, les services DNS sont
utilisés à la place (port 53). Cependant, l'utilisation du DNS n'est pas aussi efficace, car elle nécessite l'envoi de
plusieurs demandes lors du processus de classification en pourriel d'un seul courriel.
Nous vous recommandons d'ouvrir le port TCP/UDP 53535 pour les adresses IP répertoriées dans cet article
de la base de connaissances. Ce port est utilisé par ESET Mail Security pour envoyer des requêtes.
Normalement, aucun courriel ni aucune de leurs parties ne sont envoyés pendant le processus de classification en
pourriel. Toutefois, supposons que ESET LiveGrid® soit activé et que vous ayez explicitement autorisé l’envoi
d’échantillons pour analyse. Dans ce cas, seuls les messages marqués comme étant des pourriels (ou très
probablement des pourriels) peuvent être envoyés pour faciliter une analyse approfondie et l’amélioration de la
base de données infonuagique.
Si vous souhaitez signaler un faux positif ou un faux négatif dans la classification d'un pourriel, consultez notre
article de la base de connaissances pour plus de détails.
De plus, ESET Mail Security peut aussi utiliser la méthode de la liste grise (désactivée par défaut) pour le filtrage
de pourriels.
Antihameçonnage
ESET Mail Security comprend une protection antihameçonnage qui empêche les utilisateurs d'accéder à des pages
Web connues comme hameçons. Dans le cas des courriels contenant des liens menant à des pages Web
d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui effectue des recherches dans le corps et
dans l'objet des courriels entrants afin de répérer ces liens (URL). Les liens sont comparés à la base de données
d'hameçons et les règles ayant la condition Corps de message sont évaluées.
Règles
6
La disponibilité des règles pour la protection de base de données de boîtes de courriels, l'analyse de la base de
données de boîtes de courriels à la demande et la protection du transport du courriel dans votre système dépend
de la version de Microsoft Exchange Server installée sur le serveur avec ESET Mail Security.
Les règles permettent de définir manuellement les conditions de filtrage des courriels et les actions à
entreprendre pour les courriels filtrés. Il existe différents ensembles de conditions et d'actions. Vous pouvez créer
des règles individuelles pouvant aussi être combinées. Si une règle utilise plusieurs conditions, ces conditions
seront liées à l'aide de l'opérateur logique ET. Par conséquent, la règle ne sera exécutée que si toutes les
conditions sont remplies. Si plusieurs règles sont crées, l'opérateur logique OU sera appliqué, ce qui signifie que le
programme exécutera la première règle auxquelles satisfont les conditions.
La première technique utilisée dans la séquence d’analyse est l’ajout à la liste grise si cette option est activée. Les
procédures suivantes exécuteront toujours les techniques suivantes : protection basée sur des règles définies par
l'utilisateur, suivie d'une analyse antivirus et, en dernier lieu, de l'analyse antipourriel.
Sécurité multicouche
ESET Mail Security offre une protection complexe à différents niveaux :
• Protection de la base de données de messagerie
• Protection du transport de messagerie
• Analyse de la base de données de boîtes de courriels à la demande
• L’analyse de base de données de boîtes aux lettres Microsoft 365
Pour une vue complète, consultez la matrice des fonctionnalités de ESET Mail Security et des versions de
Microsoft Exchange Server ainsi que leurs rôles.
Protection de la base de données de la boîte de courriel
Le processus d'analyse des boîtes aux lettres est déclenché et contrôlé par le serveur Microsoft Exchange. Les
messages conservés dans la base de données du magasin Microsoft Exchange Server sont continuellement
analysés. Le processus d'analyse peut être déclenché par l'une des situations suivantes, en fonction de la version
de Microsoft Exchange Server et de l'interface VSAPI utilisées et des paramètres définis par l'utilisateur :
• Lorsque l'utilisateur accède à son courriel, par exemple, dans un client de messagerie (le courriel est
toujours analysé à l'aide du moteur de détection le plus récent).
• En arrière-plan, lorsque le taux d'utilisation de Microsoft Exchange Server est bas.
• De façon proactive (en fonction de l'algorithme interne de Microsoft Exchange Server).
La protection de la base de données de la boîte de courriels n'est pas disponible avec Microsoft Exchange
Server 2013, 2016 et 2019.
L'analyse de la base de données de boîtes de courriels à la demande est disponible pour les systèmes suivants :
Protection
antipourriel
Rôles et version du serveur Exchange
Protection antihameçonnage
Protection du
transport de
messagerie
Règles
Analyse de la base
Protection de la
de données de
base de données
boîtes de courriels à
de messagerie
la demande
Microsoft Exchange Server 2010 (Boîte de courriel)
✗
✓
✓
✗
✓
✓
Microsoft Exchange Server 2010 (plusieurs rôles)
✓
✓
✓
✓
✓
✓
7
Ce type d'analyse peut être exécuté en une seule installation du serveur avec plusieurs rôles Exchange Server sur
un seul ordinateur (tant qu'elle inclut le rôle Boîte de messagerie ou le rôle Serveur dorsal).
Protection du transport de messagerie
Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans Microsoft Exchange Server 2010
et 2010, le module d'extension est plutôt enregistré comme un agent de transport selon les rôles Edge ou Hub de
Microsoft Exchange Server.
Le filtrage SMTP au niveau du serveur effectué par un agent de transport offre une protection antivirus,
antipourriel et en fonction des règles définies par l'utilisateur. Contrairement au filtrage VSAPI, le filtrage au
niveau du serveur SMTP est effectué avant que le courriel analysé ne soit reçu dans la boîte de messagerie
Microsoft Exchange Server.
Anciennement connue sous l'appellation Filtrage des messages au niveau du serveur SMTP. Cette protection est
fournie par l'agent de transport et est offerte seulement avec Microsoft Exchange Server 2010 ou des versions
ultérieures fonctionnant dans le rôle Edge Transport Server ou Hub Transport Server. Ce type d'analyse peut être
exécuté en une seule installation du serveur avec plusieurs rôles Exchange Server sur un seul ordinateur (tant
qu'elle inclut l'un des rôles de serveur mentionnés).
La protection du transport du courriel est disponible pour les systèmes suivants :
Protection
antipourriel
Rôles et version du serveur Exchange
Protection antihameçonnage
Analyse de la base de
Protection de la
données de boîtes de
base de données de
courriels à la
messagerie
demande
Protection du
transport de
messagerie
Règles
Microsoft Exchange Server 2010 (plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange Server 2013 (plusieurs rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2013(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange Server 2013 (Boîte de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2016 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange Server 2016 (Boîte de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2019(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange Server 2019 (Boîte de courriel)
✓
✓
✓
✓
✓
✗
Analyse de la base de données de boîtes de courriels à
la demande
Permet d'exécuter ou de planifier une analyse de la base de données de la boîte de courriels Exchange. Cette
fonctionnalité est seulement offerte avec Microsoft Exchange Server 2010 ou versions ultérieures fonctionnant
dans le rôle Serveur de la boîte de messagerie ou Hub Transport. Cela s'applique aussi lors de l'installation d'un
seul serveur avec plusieurs rôles Exchange Server sur un seul ordinateur (tant qu'elle inclut l'un des rôles de
serveur mentionnés).
Les types de systèmes suivants permettent l'analyse de la base de données de boîtes de courriels à la demande :
Protection
antipourriel
Rôles et version du serveur Exchange
Protection antihameçonnage
Protection du
transport de
messagerie
Règles
Analyse de la base de
Protection de la base
données de boîtes de
de données de
courriels à la
messagerie
demande
Microsoft Exchange Server 2010 (plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange Server 2010 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2010 (Boîte de courriel)
✗
✓
✓
✗
✓
✓
Microsoft Exchange Server 2013 (plusieurs rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2013 (Boîte de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2016 (Boîte de courriel)
✓
✓
✓
✓
✓
✗
8
Protection
antipourriel
Rôles et version du serveur Exchange
Microsoft Exchange Server 2019 (Boîte de courriel)
✓
Protection antihameçonnage
✓
Protection du
transport de
messagerie
Règles
✓
✓
Analyse de la base de
Protection de la base
données de boîtes de
de données de
courriels à la
messagerie
demande
✓
✗
L’analyse de base de données de boîtes aux lettres
Microsoft 365
ESET Mail Security fournit des fonctionnalités d'analyse pour les environnements hybrides Microsoft 365. Cette
option est disponible et visible dans ESET Mail Security uniquement si vous disposez d'un environnement
Exchange hybride (sur site et dans le nuage). Les deux scénarios de routage sont pris en charge par Exchange
Online ou par l'organisation sur site. Pour plus de détails, consultez la section Routage de transport dans les
déploiements hybrides Exchange.
Pour activer cette fonctionnalité, enregistrez l’analyseur ESET Mail Security.
Vous pouvez analyser les boîtes de courriels distantes et les dossiers publics Microsoft 365 comme vous le feriez
avec l'analyse de la base de données de boîtes de courriels à la demande classique.
L'exécution d'une analyse complète de la base de données de courriels dans de grands environnements peut
entraîner des charges indésirables sur le système. Pour éviter ce problème, exécutez une analyse sur des bases de
données ou des boîtes de courriel spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre de
temps en haut de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, sélectionnez plutôt
Analyser les messages modifiés au cours de la dernière semaine.
9
Nous vous recommandons de configurer Microsoft 365. Appuyez sur la touche F5 et cliquez sur Serveur > Analyse
de la base de données de la boîte aux lettres à la demande. Consultez également Détails du compte d'analyse de
la base de données.
Pour voir l'activité de l'analyse des boîtes aux lettres Office 365, accédez à Fichiers journaux > Analyse de la base
de données de la boîte aux lettres.
Spécifications
Une spécification technique de référence pour ESET Mail Security :
• Exigences système
• Caractéristiques de ESET Mail Security et rôles du serveur Exchange
• Rôles du serveur Exchange
Exigences système
Systèmes d'exploitation pris en charge :
• Microsoft Windows Server 2022 (Expérience Server Core et Desktop)
• Microsoft Windows Server 2019 (Expérience Server Core et Desktop)
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012 R2
La prise en charge d'Azure Code Signing doit être installée sur tous les systèmes d'exploitation Windows
pour que les produits ESET publiés après juillet 2023 puissent être installés ou mis à niveau. Plus
d'information.
Versions de Microsoft Exchange Server prises en charge :
• Microsoft Exchange Server 2019 jusqu'à CU14
• Microsoft Exchange Server 2016 jusqu'à CU23
• Microsoft Exchange Server 2013 jusqu'à CU23 (CU1 et CU4 ne sont pas pris en charge)
• Microsoft Exchange Server 2010 SP3 jusqu'à RU32
Le rôle de serveur d’accès au client autonome (CAS) n’est pas pris en charge, consultez la rubrique Rôles du
serveur Exchange pour plus de détails.
Nous vous recommandons de consulter les fonctionnalités de ESET Mail Security et les rôles de serveur
Exchange pour identifier les fonctionnalités disponibles pour chaque version prise en charge de Microsoft
Exchange Server et leurs rôles.
10
Configuration matérielle minimale requise :
Composant
Configuration requise
Processeur
Intel ou AMD un cœur x64
Mémoire
256 Mo de mémoire libre
Disque dur
700 Mo d'espace disque libre
Résolution d'écran
800 x 600 pixels ou plus
ESET Mail Security possède la même configuration requise recommandée applicable à Microsoft Exchange Server.
Consultez les articles techniques Microsoft suivants pour plus de détails :
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Nous vous recommandons fortement d'installer le dernier ensemble de modifications provisoires pour
votre système d'exploitation Microsoft Server et l'application avant d'installer le produit de sécurité ESET. Il
est recommandé d’installer les dernières mises à jour et les correctifs les plus récents de Windows dès
qu’ils sont disponibles.
Caractéristiques de ESET Mail Security et rôles du
serveur Exchange
Le tableau suivant vous permet de reconnaitre les fonctionnalités disponibles ainsi que leurs rôles pour chaque
version prise en charge de Microsoft Exchange Server. L'assistant d'installation de ESET Mail Security vérifie votre
environnement lors de l'installation et une fois installé, ESET Mail Security affiche ses fonctionnalités en fonction
de la version détectée de votre serveur Exchange et de ses rôles.
Protection
antipourriel
Rôles et version du serveur Exchange
Protection antihameçonnage
Protection du
transport de
messagerie
Règles
Analyse de la base de
Protection de la
données de boîtes de
base de données de
courriels à la
messagerie
demande
Microsoft Exchange Server 2010 (plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange Server 2010(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange Server 2010 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2010 (Boîte de courriel)
✗
✓
✓
✗
✓
✓
Microsoft Exchange Server 2013 (plusieurs rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2013(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange Server 2013 (Boîte de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2016 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange Server 2016 (Boîte de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange Server 2019(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange Server 2019 (Boîte de courriel)
✓
✓
✓
✓
✓
✗
Rôles du serveur Exchange
Comparaison entre le rôle Edge et le rôle Hub
Les fonctionnalités antipourriel d'Edge Transport et de Hub Transport Servers sont désactivées par défaut. Ceci
est la configuration désirée dans une organisation Exchange avec un serveur Edge Transport. Il est recommandé
que le serveur de Transport Edge exécutant la protection antipourriel de ESET Mail Security soit configuré afin de
filtrer les messages avant qu'ils ne soient acheminés vers l'organisation Exchange.
11
Le rôle Edge est le meilleur choix pour l'analyse antipourriel, parce qu'il permet à ESET Mail Security de rejeter le
pourriel tôt dans le processus sans charger inutilement les couches du réseau. Grâce à cette configuration, les
messages entrants seront filtrés par ESET Mail Security sur le serveur Transport Edge pour qu'ainsi, ils puissent
être déplacés vers le serveur Transport Hub sans devoir être filtrés de nouveau.
Supposons que votre organisation n’utilise pas de serveur de transport Edge et dispose uniquement d’un serveur
de transport Hub. Dans ce cas, nous vous recommandons d’activer les fonctionnalités antipourriel sur le serveur
de transport Hub qui reçoit des messages entrants d’Internet via SMTP.
En raison de certaines restrictions techniques de Microsoft Exchange Server 2010 et des versions plus
récentes, ESET Mail Security ne prend pas en charge le déploiement de Microsoft Exchange Server avec
uniquement le rôle Client Access Server (CAS) (Client Access Server autonome).
Installer / Mettre à niveau
Vous trouverez ci-après des détails sur l’installation, la mise à niveau du produit et d’autres informations
connexes :
• Préparation à l’installation
• Étapes d'installation de ESET Mail Security
• Installation si licencieuse / sans assistance
• Mettre à niveau vers la version la plus récente?
• Installation dans un environnement en grappe
• Environnement multiserveur / DAG
Préparation à l’installation
Nous vous recommandons d'effectuer les étapes suivantes pour préparer l'installation du produit :
• Après l'achat de ESET Mail Security, téléchargez le fichier d'installation .msi sur le site Web d'ESET .
• Assurez-vous que le serveur sur lequel vous prévoyez d'installer ESET Mail Security répond aux exigences
du système.
• Connectez-vous au serveur à l'aide d'un compte administrateur.
• Si vous souhaitez effectuer une mise à niveau à partir d'une installation existante de ESET Mail Security,
nous vous recommandons de sauvegarder sa configuration actuelle à l'aide de la fonction Paramètres
d'exportation.
• Supprimez/désinstallez tout logiciel antivirus tiers de votre système, le cas échéant. Nous vous
recommandons d'utiliser ESET AV Remover . Pour obtenir une liste de logiciels antivirus tiers qui peuvent
être supprimés à l'aide d'ESET AV Remover, voir cet article de la Base de connaissances.
• Si vous effectuez l'installation de ESET Mail Security sur Windows Server 2016, Microsoft recommande de
désinstaller les fonctionnalités de Windows Defender (Microsoft Defender Antivirus) et d'annuler
12
l'inscription ATP Windows Defender pour éviter les problèmes liés à l'installation de plusieurs produits
antivirus sur une machine.
• Si vous effectuez l'installation de ESET Mail Security sur Windows Server 2019 ou Windows Server 2022,
Microsoft recommande de désactiver l’antivirus Windows Defender manuellement pour éviter les
problèmes liés à l'installation de plusieurs produits antivirus sur une machine.
Si les fonctionnalités de Windows Defender sont présentes sur votre Windows Server 2016, 2019 ou 2022
pendant l'installation de ESET Mail Security, elles sont désactivées par ESET Mail Security pour éviter les
collisions de protection en temps réel entre plusieurs produits antivirus. De plus, les fonctionnalités de
Windows Defender sont désactivées par ESET Mail Security à chaque démarrage/redémarrage du système.
Il existe une exception à cette règle : si vous effectuez une installation de composant sans le composant de
protection en temps réel du système de fichiers, les fonctionnalités de Windows Defender sur Windows
Server 2016 ne sont pas désactivées.
• Pour une vue complète, consultez la matrice des fonctionnalités de ESET Mail Security et des versions de
Microsoft Exchange Server ainsi que leurs rôles.
• Vous pouvez vérifier le nombre de boîtes de courriels en exécutant l'outil Nombre de boîtes de courriels;
consultez notre article de la base de connaissances pour plus de détails. Une fois que votre ESET Mail
Security est installé, il affiche le nombre actuel de boîtes de courriels au bas de la fenêtre de surveillance.
Vous pouvez exécuter le programme d'installation ESET Mail Security dans les modes d'installation suivants :
• Installation standard : mode recommandé à l'aide de l'assistant d'installation.
• Installation silencieuse/sans assistance : vous pouvez installer ESET Mail Security en mode silencieux au
moyen de la ligne de commande.
• Mise à jour de la dernière version : Si vous utilisez une version antérieure de ESET Mail Security, vous
pouvez choisir la méthode de mise à niveau adaptée.
Une fois que vous avez installé ou mis à niveau votre ESET Mail Security, vous pouvez effectuer les activités
suivantes :
Activation du produit
Les scénarios d'activation disponibles dans la fenêtre d'activation peuvent varier selon le pays et les moyens de
distribution.
Tâches post-installation
Consultez la liste des tâches recommandées que vous pouvez effectuer après une installation réussie de ESET Mail
Security.
Configuration des paramètres généraux
Vous pouvez affiner votre configuration de ESET Mail Security en modifiant les paramètres avancés de chaque
fonctionnalité.
13
Étapes d'installation de ESET Mail Security
Il s'agit d'une installation standard à l'aide d'un assistant classique. Double cliquez sur le paquet .msi et suivez les
étapes indiquées pour installer ESET Mail Security :
1. Cliquez sur Suivant pour continuer ou sur Annuler si vous souhaitez quitter l'installation.
2. L'assistant d'installation s'exécute dans la langue définie par l'option Lieu de résidence du paramètre
Région > Emplacement de votre système d'exploitation (ou Emplacement actuel du paramètre Région et
Langue > Emplacement dans les anciens systèmes). Sélectionnez la Langue du produit dans laquelle ESET Mail
Security sera installé dans le menu déroulant. La langue sélectionnée pour ESET Mail Security est
indépendante de la langue dans laquelle s'affiche l'assistant d'installation.
3. Cliquez sur Suivant pour afficher le Contrat de Licence de l'Utilisateur Final. Après avoir accepté les termes
du Contrat de Licence de l'Utilisateur Final et la Politique de confidentialité, cliquez sur Suivant.
14
4. Choisissez l'un des types d'installation disponibles (la disponibilité dépend du système d'exploitation) :
Complète
Permet d'installer toutes les fonctionnalités de ESET Mail Security.
Le programme d'installation ne contient que les modules essentiels; tous les autres modules sont
téléchargés lors de la mise à jour initiale des modules après l'activation du produit.
Dans le cas où vous planifiez utiliser use Quarantaine locale pour les courriels et que vous ne voulez pas
stocker les fichiers de courriel mis en quarantaine sur votre C: lecteur, remplacez le chemin d'accès du
Dossier de données par le lecteur et l'emplacement de votre choix. Cependant, rappelez-vous que tous les
fichiers de données ESET Mail Security seront stockés à cet emplacement.
15
Personnalisé
L'installation personnalisée vous permet de choisir les fonctionnalités de ESET Mail Security qui seront installées
sur votre système. Une liste des modules et des fonctions du produit s'affiche avant le début de l'installation.
Cette option est utile lorsque vous voulez personnaliser ESET Mail Security en choisissant seulement les
composants dont vous avez besoin.
5. Vous êtes invité à sélectionner l’emplacement où vous allez installer ESET Mail Security. Le programme
16
s'installe par défaut dans C:\Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour changer la
destination (cette option n'est pas recommandée).
6. Cliquez sur Installer pour commencer l'installation. Après l’installation, vous êtes invité à activer ESET Mail
Security.
Exporter les paramètres ou supprimer l'installation
Vous pouvez exporter et enregistrer les paramètres ou supprimer l’installation. Pour ce faire, vous pouvez
exécuter le progiciel d'installation .msi utilisé lors de l'installation initiale ou accéder à Programmes et
fonctionnalités (accessible à partir du Panneau de configuration Windows). Cliquez à l'aide du bouton droit de la
souris sur ESET Mail Security et sélectionnez Modifier.
Vous pouvez exporter les paramètres de votre ESET Mail Security ou supprimer (désinstaller) complètement ESET
Mail Security.
17
Mise à jour initiale des modules
Afin de réduire le trafic réseau lié à la taille du programme d'installation et d'économiser les ressources, le
programme d'installation ne contient que les modules essentiels. Tous les autres modules seront téléchargés
pendant la mise à jour initiale du module après l’activation du produit. Il est surtout avantageux d'avoir un
programme d'installation nettement plus petit; ESET Mail Security ne télécharge alors que les derniers modules
d'application lorsque vous activez le produit.
Le programme d'installation du module minimal contient les modules ci-après :
• Loaders
• Prise en charge d'Anti-Stealth
• Communication Direct Cloud
• Prise en charge de la traduction
• Configuration
• SSL
Après l'activation du produit, l'option Initialisation de l'état de la protection s'affiche et vous informe de
l'initialisation des fonctionnalités.
18
En cas de problème de téléchargement des modules (par exemple, aucune connexion réseau, aucun parefeu ou aucun paramètre de mandataire), un avertissement Attention requise s’affiche.
Cliquez sur Mises à jour > Vérifier les mises à jour dans la fenêtre principale du programme pour
recommencer le processus de mise à jour.
Après plusieurs tentatives infructueuses, l'état de l'application Échec de la configuration de la protection
s'affiche en rouge. Si vous ne pouvez pas mettre à jour les modules, téléchargez le programme
d’installation complet .msi de ESET Mail Security.
Si votre serveur ne dispose pas d'une connexion Internet et qu'il a besoin de mises à jour, utilisez les méthodes
suivantes pour télécharger les fichiers du module de mise à jour depuis les serveurs de mise à jour ESET :
• Mettre à jour à partir du miroir
• Utilisation de Mirror Tool
Installation si licencieuse / sans assistance
Exécutez la commande suivante pour terminer l'installation en utilisant la ligne de commande : msiexec /i
<packagename> /qn /l*xv msi.log
Utilisez l’Observateur d’événements de Windows pour vérifier le journal des applications (recherchez les
enregistrements de la source : MsiInstaller) pour vous assurer que l’installation a réussi ou pour examiner tout
problème d’installation.
19
Installation complète sur un système 64 bits :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,SysInspector,Rmm,eula
Lorsque l’installation est terminé, l’IUG ESET démarre et l’icône s’affiche dans la zone de notification Windows
Installation du produit dans la langue spécifiée (par exemple, allemand) :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,^
SysInspector,Rmm,eula PRODUCT_LANG=1031 PRODUCT_LANG_CODE=de-de
Reportez-vous à la rubrique Paramètres de langue dans la rubrique Installation à partir de la ligne de
commande pour plus de détails et pour afficher la liste des codes de langue.
Lorsque vous spécifiez des valeurs pour le paramètre REINSTALL, vous devez répertorier le reste des
fonctionnalités qui ne sont pas utilisées comme valeurs pour les paramètres ADDLOCAL ou REMOVE. Il est
nécessaire que l'installation par ligne de commande s'exécute correctement pour que vous répertoriez
toutes les fonctionnalités en tant que valeurs pour les paramètres REINSTALL, ADDLOCAL et REMOVE.
L'ajout ou la suppression peut ne pas aboutir si vous n'utilisez pas le paramètre REINSTALL.
Consultez la section Installation par ligne de commande pour la liste complète des fonctionnalités.
Désinstallation complète sur un système 64 bits :
msiexec /x emsx_nt64.msi /qn /l*xv msi.log
Après une désinstallation réussie, votre serveur redémarre automatiquement.
Installation de la ligne de commande
Les paramètres suivants devraient être utilisés uniquement avec les niveaux d'interface utilisateur Réduit, Basic
et Aucun. Consultez la documentation pour la version msiexec utilisée pour les commutateurs de ligne de
commande appropriés.
Paramètres pris en charge :
APPDIR=<path>
• path - Chemin de répertoire valide
• Répertoire d'installation de l'application
• Par exemple : emsx_nt64.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection
APPDATADIR=<path>
• path - Chemin de répertoire valide
• Répertoire d'installation des données de l'application
MODULEDIR=<path>
• path - Chemin de répertoire valide
• Répertoire d'installation du module
20
.
ADDLOCAL=<list>
• Installation du composant - liste des fonctionnalités non-obligatoires à installer localement.
• Utilisation avec les paquets .msi d'ESET : emsx_nt64.msi /qn ADDLOCAL=<list>
• Pour en savoir plus sur la propriété ADDLOCAL, consultez
https://docs.microsoft.com/en-gb/windows/desktop/Msi/addlocal
• ADDLOCAL est une liste de toutes les fonctionnalités qui seront installées séparées par des virgules.
• Lors de la sélection d'une fonctionnalité à installer, le chemin complet (c'est-à-dire toutes ses
fonctionnalités parentes) doit être explicitement inclus dans la liste.
REMOVE=<list>
• Installation du composant - fonction parente que vous ne souhaitez pas installer localement.
• Utilisation avec les paquets .msi d'ESET : emsx_nt64.msi /qn REMOVE=<list>
• Pour en savoir plus sur la propriété REMOVE,
consultezhttps://docs.microsoft.com/en-gb/windows/desktop/Msi/remove
• La liste REMOVE est une liste de fonctions parents séparées par des virgules qui ne seront pas installées
(ou seront supprimées en cas d'installation existante).
• Il suffit de préciser la caractéristique du parent uniquement. Il n'est pas nécessaire d'inclure explicitement
chaque fonction enfant dans la liste.
ADDEXCLUDE=<list>
• La liste ADDEXCLUDE est une liste de tous les noms de fonctionnalités à ne pas installer, séparés par des
virgules.
• Lors de la sélection d'une fonctionnalité à ne pas installer, le chemin complet (c'est-à-dire toutes ses sousfonctionnalités) et les fonctionnalités invisibles associées doivent être explicitement inclus dans la liste.
• Par exemple : emsx_nt64.msi /qn ADDEXCLUDE=<list>
ADDEXCLUDE ne peut pas être utilisée avec ADDLOCAL.
Présence de la fonctionnalité
• Obligatoire - La fonctionnalité est toujours installée.
• Facultative - La fonctionnalité peut être désélectionnée lors de l'installation.
• Invisible - Fonctionnalité logique obligatoire pour que les autres fonctionnalités s'exécutent correctement.
Liste des fonctionnalités de ESET Mail Security :
Les noms de toutes les fonctionnalités sont sensibles à la casse, par exemple RealtimeProtection n'est pas
égal à REALTIMEPROTECTION.
21
Nom de la fonctionnalité
Présence de la
fonctionnalité
SERVER
Obligatoire
RealtimeProtection
Obligatoire
MAILSERVER
Obligatoire
WMIProvider
Obligatoire
HIPS
Obligatoire
Updater
Obligatoire
eShell
Obligatoire
UpdateMirror
Obligatoire
DeviceControl
Facultative
DocumentProtection
Facultative
WebAndEmail
Facultative
ProtocolFiltering
Invisible
NetworkProtection
Facultative
IdsAndBotnetProtection
Facultative
Rmm
Facultative
WebAccessProtection
Facultative
EmailClientProtection
Facultative
MailPlugins
Invisible
Cluster
Facultative
_Base
eula
ShellExt
Facultative
_FeaturesCore
GraphicUserInterface
Facultative
SysInspector
Facultative
EnterpriseInspector
Facultative
Si vous souhaitez supprimer l'une des fonctionnalités suivantes, vous devez supprimer tout le groupe en
spécifiant chaque fonctionnalité appartenant au groupe. Dans le cas contraire, la caractéristique ne sera pas
supprimée. Voici deux groupes (chaque ligne représente un groupe) :
GraphicUserInterface,ShellExt
NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailP
lugins,EmailClientProtection
22
Excluez la section NetworkProtection (y compris les fonctionnalités enfants) de l'installation à l'aide du paramètre REMOVE et en
spécifiant uniquement la fonctionnalité parent :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=ALL REMOVE=NetworkProtection
Vous pouvez également utiliser le paramètre ADDEXCLUDE, mais vous devez également spécifier toutes les fonctionnalités enfants :
msiexec /i emsx_nt64.msi /qn ADDEXCLUDE=NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,^
ProtocolFiltering,MailPlugins,EmailClientProtection
Si vous souhaitez que votre ESET Mail Security soit automatiquement configuré après l'installation, vous pouvez
spécifier les paramètres de configuration de base dans la commande d'installation.
Installez ESET Mail Security et désactivez ESET LiveGrid® :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log CFG_LIVEGRID_ENABLED=0
Liste de toutes les propriétés de configuration :
Basculer
Valeur
CFG_POTENTIALLYUNWANTED_ENABLED=1/0
0 - Désactivée, 1 - Activée
CFG_LIVEGRID_ENABLED=1/0
0 - Désactivée, 1 - Activée
FIRSTSCAN_ENABLE=1/0
0 - Désactiver, 1 - Activer
CFG_PROXY_ENABLED=0/1
0 - Désactivée, 1 - Activée
CFG_PROXY_ADDRESS=<ip>
Adresse IP du mandataire
CFG_PROXY_PORT=<port>
Numéro de port mandataire
CFG_PROXY_USERNAME=<user>
Nom d'utilisateur pour l'authentification
CFG_PROXY_PASSWORD=<pass>
Mot de passe pour l'authentification
Paramètres de langue : Langue du produit (vous devez spécifier les deux paramètres)
Basculer
Valeur
PRODUCT_LANG=
LCID décimal (ID de paramètres régionaux), par exemple 1033 pour English - United States, consultez la
liste des codes de langues.
PRODUCT_LANG_CODE=
Chaîne LCID (Nom de la culture de la langue) en minuscules, par exemple en-us pour English - United
States, consultez la liste des codes de langues.
Mettre à niveau vers la version la plus récente?
Les nouvelles versions de ESET Mail Security sont fournies afin d'apporter des améliorations ou de corriger des
problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du programme.
Méthodes de mise à niveau :
• Désinstaller/Installer - Supprimer l'ancienne version avant d'installer la nouvelle. Téléchargez la dernière
version de ESET Mail Security Exportez les paramètres de votre ESET Mail Security existant si vous souhaitez
conserver la configuration. Désinstallez ESET Mail Security et redémarrez le serveur. Effectuez une nouvelle
installation avec le programme d'installation que vous avez téléchargé. Importer les paramètres pour
charger votre configuration. Nous recommandons cette procédure si vous avez un seul serveur exécutant
ESET Mail Security.
• Sur place - Une méthode de mise à niveau qui permet d'installer la nouvelle version de ESET Mail Security
sur la version existante sans supprimer cette dernière.
23
Il est nécessaire que vous n'ayez pas de mises à jour Windows en attente sur votre serveur, ni de
redémarrage en attente en raison des mises à jour de Windows ou pour toute autre raison. Si vous essayez
d'effectuer une mise à niveau sur place avec des mises à jour Windows en attente ou de redémarrer votre
ordinateur, la version existante de ESET Mail Security peut ne pas être supprimée correctement. Vous
rencontrerez également des problèmes si vous décidez de supprimer manuellement l'ancienne version de
ESET Mail Security par la suite.
Le redémarrage du serveur sera nécessaire pendant la mise à niveau de ESET Mail Security.
• À distance - Pour une utilisation dans les grands environnements réseau gérés par ESET PROTECT. Il s'agit
essentiellement d'une méthode de mise à niveau propre, mais effectuée à distance. Cette méthode est utile
si vous avez plusieurs serveurs exécutant ESET Mail Security.
• Assistant ESET Cluster - peut également être utilisé comme méthode de mise à niveau. Nous
recommandons cette méthode pour 2 ou plusieurs serveurs équipé de ESET Mail Security. Il s'agit
essentiellement d'une méthode de mise à niveau sur place, mais effectuée au moyen d'ESET Cluster. Une
fois la mise à niveau terminée, vous pouvez continuer à utiliser la grappe ESET et profiter de ses
fonctionnalités.
Voici une liste des paramètres qui sont conservés à partir des versions antérieures de ESET Mail Security :
• Configuration générale de ESET Mail Security.
Paramètres de la protection antipourriel :
• Tous les paramètres qui sont identiques dans les versions antérieures; les nouveaux paramètres seront
réglés aux valeurs par défaut.
• Entrées de liste blanche et de liste noire.
Après avoir mis votre ESET Mail Security à niveau, nous vous recommandons de parcourir tous les
paramètres pour vous assurer que le produit est configuré correctement et en fonction de vos besoins.
Mise à niveau à l'aide de la grappe ESET
La création d'une grappe ESET vous permet de mettre à niveau plusieurs serveurs en utilisant l'ancienne version
de ESET Mail Security. Nous recommandons l'utilisation de la méthode de grappe ESET si votre environnement
comprend 2 serveurs ou plus avec ESET Mail Security. Un autre avantage de cette méthode de mise à niveau est
qu'elle vous permet de continuier à utiliser la grappe ESET pour que la configuration de ESET Mail Security soit
synchronisée sur tous les nœuds membres.
Suivez les étapes ci-dessous pour mettre à niveau à l'aide de cette méthode :
1. Connectez-vous sur l'un des serveurs exécutant ESET Mail Security et mettez-le à niveau en téléchargeant et
en installant la dernière version sur la version existante. Suivez les étapes pour une installation ordinaire.
Toutes les configurations d'origine de votre ancien ESET Mail Security seront préservées lors de l'installation.
2. Lancez l'assistant de grappe ESET et ajoutez les nœuds de grappe (les serveurs sur lesquels vous voulez
mettre ESET Mail Security à niveau). Si nécessaire, ajoutez d'autres serveurs qui n'exécutent pas encore ESET
Mail Security (une installation sera effectuée sur ces serveurs). Nous vous recommandons de laisser les
24
paramètres par défaut lors de la spécification du nom de la grappe et du type d'installation (assurez-vous que
l'option Pousser la licence aux nœuds sans produit activé est sélectionnée).
3. Vérifiez l'écran Journal de vérification des nœuds. Il affiche les serveurs ayant des versions plus anciennes et
sur lesquels le produit va être réinstallé. ESET Mail Security sera également installé sur tous les serveurs
ajoutés, sur lesquels il n'est pas actuellement installé.
4. L'écran Installation des nœuds et activation de la grappe affichera l'état d'avancement de l'installation. Si
l'installation se termine correctement, les résultats devraient ressembler à ceux-ci :
25
Si votre réseau ou votre DNS n'est pas configuré correctement, le message d'erreur suivant pourrait s'afficher :
Impossible d'obtenir le jeton d'activation à partir du serveur.. Essayez d'exécuter à nouveau l'assistant de grappe
ESET. Cette action détruit la grappe et crée une nouvelle (sans réinstaller le produit) et l'activation devrait se
terminer avec succès cette fois. Si le problème persiste, vérifiez vos paramètres réseau et DNS.
26
Mettre à niveau à l'aide d'ESET PROTECT
ESET PROTECT vous permet de mettre à niveau plusieurs serveurs exécutant une version antérieure de ESET Mail
Security. L’avantage de cette méthode est qu’elle permet de mettre simultanément à niveau plusieurs serveurs
tout en s’assurant que chaque ESET Mail Security est configuré de manière identique (en cas de besoin).
La procédure comprend les phases suivantes :
• Mettre à niveau le premier serveur manuellement en installant la dernière version de ESET Mail Security
sur votre version existante pour préserver votre configuration, y compris les règles et plusieurs listes
blanches/listes noires. Cette phase s'effectue localement sur le serveur exécutant ESET Mail Security.
• Demander la configuration du ESET Mail Security nouvellement mis à niveau vers la version 7.x et
Convertir la stratégie dans ESET PROTECT. La politique sera appliquée ultérieurement à tous les serveurs mis
à niveau. Cette phase ainsi que les phases suivantes s'effectuent à distance à l'aide de ESET PROTECT.
• Exécuter la tâche de désinstallation de logiciel sur tous les serveurs exécutant l'ancienne version de ESET
Mail Security.
• Exécuter la tâche d’installation du logiciel sur tous les serveurs sur lesquels la dernière version de ESET
Mail Security doit être installée.
27
• Attribuer une politique de configuration à tous les serveurs exécutant la dernière version de ESET Mail
Security.
Suivez les instructions ci-dessous pour effectuer une mise à niveau à l’aide de ESET PROTECT
1. Connectez-vous sur l'un des serveurs exécutant ESET Mail Security et mettez-le à niveau en téléchargeant et
en installant la dernière version sur la version existante. Suivez les étapes d’installation standard. Vos
configurations d’origine de ESET Mail Security sont conservées pendant l’installation.
2. Ouvrez la ESET PROTECTonsole Web , sélectionnez un ordinateur client au sein des groupes statiques ou
dynamiques et cliquez sur Afficher Détails.
3. Sélectionnez l’onglet Configuration et cliquez sur le bouton Demander une configuration pour collecter les
configurations de votre produit géré. Sachez que ce processus prend un certain temps. Une fois que la
configuration la plus récente sera affichée dans la liste, cliquez sur produit de sécurité et sélectionnez Ouvrir
la configuration.
4. Créez une politique de configuration en cliquant sur le bouton Convertir la politique. Entrez le nom de la
nouvelle politique et cliquez sur Terminer.
5. Sélectionner Tâches client et sélectionnez la tâche Installation de logiciel. Lors de la création de la tâche de
désinstallation, nous vous recommandons de redémarrer le serveur après la désinstallation en cochant la case
Redémarrer automatiquement si nécessaire. Une fois que vous avez créé la tâche, ajoutez tous les
ordinateurs cibles souhaités pour la désinstallation.
6. Assurez-vous que ESET Mail Security est désinstallé sur toutes les cibles.
7. Créez une tâche d'installation de logiciel pour installer, si vous le souhaitez, les dernières versions deESET
Mail Security sur les cibles.
8. Attribuez une politique de configuration à tous les serveurs exécutant ESET Mail Security, idéalement à un
groupe.
Installation dans un environnement en grappe
Vous pouvez déployer ESET Mail Security dans un environnement en grappe (par exemple la grappe de
basculement). Vous devriez installer ESET Mail Security sur un nœud actif, puis redistribuer l’installation sur un ou
plusieurs nœuds passifs à l’aide de la fonctionnalité Grappe ESET. En dehors de l'installation, la grappe ESET
servira de réplication de la configuration de ESET Mail Security afin d'assurer la cohérence entre les nœuds de la
grappe.
Environnement multiserveur / DAG
ESET Mail Security prend en charge les environnements multiserveurs. Si votre infrastructure est constituée de
plusieurs serveurs, par exemple Database availability group (DAG), vous pouvez installer ESET Mail Security sur
chaque serveur Exchange avec le rôle Mailbox.
La façon la plus simple est d'installer ESET Mail Security sur tous les serveurs utilisant la grappe ESET. Aussi, il est
recommandé d'activer Utiliser la grappe ESET pour stocker tous les messages mis en quarantaine sur un nœud
dans les paramètres de quarantaine de courriel. Si vous prévoyez d'utiliser la mise en liste grise, activez
28
Synchroniser les bases de données des listes grises avec toute la grappe ESET.
Activation d'ESET Mail Security
Une fois l'installation terminée, vous serez invité à activer votre produit.
Vous pouvez utiliser l'une ou l'autre des méthodes suivantes pour activer ESET Mail Security :
Utiliser votre compte
Créez un compte si vous ne disposez pas de compte enregistré dans ESET PROTECT Hub. Vous pouvez également
utiliser des outils ESET Business Account de gestion des licences plus anciens ou ESET MSP Administrator.
Une clé de licence achetée
Saisissez ou copiez-collez votre clé de licence émise par ESET dans le champ Clé de licence et cliquez sur
Continuer. Saisissez la clé de licence telle que libellée, y compris les traits d'union. Si vous copiez/collez la licence,
assurez-vous de ne pas sélectionner accidentellement d’espace supplémentaire autour du texte.
Fichier de licence hors ligne
Il s’agit d’un fichier généré automatiquement qui est transféré vers le produit ESET. Votre fichier de licence hors
ligne est généré par le portail de licences et utilisé dans des environnements où l'application ne peut pas se
connecter au service de délivrance des licences.
Cliquez sur Activer ultérieurement avec ESET PROTECT si votre ordinateur appartient au réseau géré, et que votre
administrateur effectuera l'activation à distance à l'aide d'ESET PROTECT. Vous pouvez également utiliser cette
29
option pour activer un client ultérieurement.
Sélectionnez Aide et assistance > Modifier la licence dans la fenêtre principale du programme afin de gérer les
renseignements de licence à tout moment. Vous verrez l'ID de licence publique utilisé pour identifier votre
produit et pour l'identification de la licence. Le nom d'utilisateur sous lequel l'ordinateur est enregistré est stocké
dans la section À propos que vous pouvez afficher en cliquant à du bouton droit sur l’icône de la zone de
notification Windows .
Une fois l’activation de ESET Mail Security réussie, la fenêtre principale du programme s’ouvre et affiche l’état
actuel dans la page Surveillance. Votre attention pourrait être requise au début. Par exemple, il vous sera
demandé de participer à ESET LiveGrid®.
La fenêtre principale du programme affichera aussi des notifications sur d'autres éléments, tels que les mises à
jour du système (Windows Updates) ou les mises à jour du moteur de détection. Lorsque tout ce qui nécessite
une attention est résolu, l’état de surveillance devient vert et affiche l’état Vous êtes protégé.
Vous pouvez également activer votre produit à partir du menu principal sous Aide et assistance > Activer le
produit ou de l'état Surveillance > Le produit n'est pas activé.
ESET PROTECT est capable d'activer silencieusement les ordinateurs clients en utilisant les licences mises à
disposition par l'administrateur.
Activation réussie
Le ESET Mail Security n'est pas activé Dorénavant, ESET Mail Security recevra régulièrement des mises à jour afin
de pourvoir identifier les menaces les plus récentes et protéger votre ordinateur. Cliquez sur Terminé pour
terminer l'activation du produit.
Compte ESET PROTECT Hub
ESET PROTECT Hub est une passerelle centrale vers la plate-forme de sécurité unifiée ESET PROTECT. Il fournit
une gestion centralisée des identités, des abonnements et des utilisateurs pour tous les modules de la plateforme ESET. Grâce à ESET PROTECT Hub, vous pouvez :
• Obtenir une vue d’ensemble des abonnements de sécurité
• Vérifier l’utilisation et les statuts des services abonnés
• Allouer et contrôler l’accès granulaire aux plates-formes ESET individuelles
• Utiliser une connexion unique pour toutes les plates-formes ESET liées et accessibles
Si vous n’avez pas de compte ESET PROTECT Hub enregistré, créez un nouveau compte et connectez-vous avec
votre adresse courriel et votre mot de passe.
Échec de l'activation
Dans le cas où l'activation de ESET Mail Security n'a pas réussi, les scénarios suivants sont possibles :
30
• Clé de licence déjà en cours d’utilisation
• Clé de licence non valide : erreur de formulaire d’activation de produits
• Les renseignements manquants ou non valides doivent être corrigés
• Échec de la communication avec la base de données d’activation : réessayez dans 15 minutes
• La connexion aux serveurs d’activation d’ESET n’est pas disponible ou a été désactivée
Assurez-vous que vous avez entré la clé de licence appropriée ou installé une licence hors ligne et réessayez
l'activation.
Si vous ne parvenez pas à effectuer l'activation, consultez l’assistant de dépannage de l’activation.
Licence
Vous êtes invité à sélectionner une licence ESET Mail Security associée à votre compte. Cliquez sur Continuer
pour procéder à l'activation.
Démarrer
Les rubriques suivantes vous aideront à démarrer avec ESET Mail Security.
Activation du produit
Assurez-vous que ESET Mail Security est activé. Vous pouvez effectuer l’activation de plusieurs manières
différentes.
Surveillance
Il s'agit d'une vue d'ensemble rapide de l'état actuel de ESET Mail Security, qui vous permet de voir facilement si
des problèmes nécessitent votre attention.
Géré par l'entremise de ESET PROTECT
Vous pouvez utiliser ESET PROTECT pour gérer à distance ESET Mail Security. La partie suivante devrait vous aider
à démarrer avec ESET Mail Security.
Tâches post-installation
Elles sont destinées à vous aider pour la configuration.
Rapports
Configurez des rapports (rapports de mise en quarantaine de messagerie et rapport de protection du serveur de
messagerie) avec une remise planifiée par courriel.
31
Tâches post-installation
Voici les tâches recommandées qui permettent la configuration initiale de votre ESET Mail Security.
Tâche
Description
Activation du produit
Assurez-vous que votre copie d’ESET Mail Security est activée. Vous pouvez effectuer l’activation de plusieurs manières différentes.
Mettre à jour
Une fois le produit activé, la mise à jour du module s'exécute automatiquement. Vérifiez l'état de la mise à jour pour voir si celle-ci a
réussi.
Gestionnaire de la quarantaine de courriels
Familiarisez-vous avec le gestionnaire de quarantaine du courriel, accessible à partir de la fenêtre principale du programme. Cette
fonctionnalité vous permet de gérer les messages mis en quarantaine tels que les pourriels, les pièces jointes infectées contenant des
logiciels malveillants, les messages d'hameçonnage et les messages filtrés par des règles. Vous pouvez voir les détails de chaque message
et effectuer une action (libérer ou supprimer).
Interface Web de la quarantaine de courriels
L'interface Web de Quarantaine de courriel est une autre solution, en dehors du gestionnaire de Quarantaine de courriel, qui vous
permet de gérer les objets mis en quarantaine à distance. L’interface Web de la mise en quarantaine de courriels permet également aux
utilisateurs (destinataires de messagerie) de gérer leurs messages mis en quarantaine. Les utilisateurs peuvent être informés du contenu
nouvellement mis en quarantaine grâce aux rapports sur la mise en quarantaine des courriels envoyés par courriel. Nous vous
recommandons de configurer les rapports.
Antipourriel - Filtrage et vérification
La fonctionnalité antipourriel est une fonctionnalité sophistiquée basée sur le nuage qui empêche vos utilisateurs (destinataires de
courriels) de recevoir des pourriels. Nous vous recommandons d'utiliser le filtrage et la vérification et d'ajouter vos adresses IP locales à
la liste des adresses IP à ignorer. Les adresses IP de votre infrastructure réseau seront alors ignorées lors de la classification. Vous pouvez
configurer et gérer le reste des listes Approuvées, Bloquées et Ignorées pour personnaliser le filtrage et la vérification. Vous pouvez
également activer la mise en liste grise si vous souhaitez utiliser cette fonctionnalité.
Test antivirus
Il permet de vérifier que la protection antivirus fonctionne correctement.
Test antipourriel
Il permet de vérifier que la protection antipourriel fonctionne correctement.
Test antihameçonnage
Il permet de vérifier que la protection antihameçonnage fonctionne correctement.
Règles
Une fonctionnalité puissante qui vous permet de filtrer les courriels en fonction de conditions définies et d'actions. Utilisez des règles
prédéfinies (modifiez-les si nécessaire) ou créez de nouvelles règles personnalisées pour répondre à vos besoins. Les règles peuvent être
configurées pour l'une des couches de protection (protection du transport du courriel, protection de base de données de boîtes de
courriels ou analyse de la base de données de boîtes de courriels à la demande).
Vous pouvez continuer à configurer des rapports.
Rapports
ESET Mail Security vous permet de configurer des rapports et de planifier leur livraison par courriel à des
destinataires sélectionnés.
Accédez à Outils > Planificateur et cliquez sur Ajouter une tâche. Utilisez l’assistant pour créer une tâche
planifiée pour envoyer des rapports de mise en quarantaine de messagerie ou un rapport de protection du
serveur de messagerie.
Rapports
Description
Rapports sur la mise en quarantaine des courriels
Créez une tâche planifiée pour envoyer des rapports sur la mise en quarantaine de courriels à vous-même et aux utilisateurs sélectionnés
afin de leur permettre de libérer certains messages qui sont des faux positifs et de gérer leur contenu mis en quarantaine à l'aide de
l'interface Web de Quarantaine de courriel (visionneuse en ligne). Les utilisateurs peuvent accéder à l'interface Web en cliquant sur un
lien fourni dans les rapports de mise en quarantaine des courriels et en se connectant à l'aide de leurs identifiants de domaine.
Rapport sur la protection du serveur de messagerie
Les rapports statistiques contiennent des informations sur le nombre de courriels analysés, de logiciels malveillants détectés,
d’hameçonnage et de pourriel pour la période spécifiée. Utilisez le planificateur pour générer le rapport de protection du serveur de
messagerie à une date et une heure précises et en tant qu’événement récurrent si vous le souhaitez. Les rapports planifiés sont remis
aux destinataires sélectionnés sous forme de pièce jointe au format HTML ou CSV.
Gérer ESET Mail Security à distance
Outils de gestion à distance ESET
ESET PROTECT On-Prem
Gérez les produits de serveur ESET à partir d’un emplacement central. À l’aide de ESET PROTECT On-Prem Web
Console, vous pouvez déployer des produits ESET, gérer des tâches, appliquer des stratégies de sécurité, surveiller
l’état du système et répondre rapidement aux problèmes ou aux détections sur les serveurs distants.
ESET PROTECT
32
Gérez les produits ESET sur vos serveurs dans un environnement en réseau à partir d’un emplacement central
sans nécessiter de serveur physique ou virtuel, par opposition à ESET PROTECT On-Prem.
ESET PROTECT Hub
Passerelle centrale vers la plate-forme de sécurité unifiée ESET PROTECT. Il fournit une gestion centralisée des
identités, des abonnements et des utilisateurs pour tous les modules de la plate-forme ESET.
ESET Business Account
Portail de gestion des licences pour les produits d’entreprise ESET.
Produits de sécurité supplémentaires
ESET Inspect On-Prem ou ESET Inspect
Combine toutes les puissantes capacités de sa version locale avec la facilité de déploiement, et pratiquement
aucune exigence de maintenance, d’un service fourni dans le nuage. Il s’agit de l’aboutissement des technologies
et du savoir-faire de détection des points de terminaison ESET.
Outils de gestion à distance tiers
Remote monitoring and management RMM
Processus de supervision et de contrôle des logiciels avec un agent installé localement auquel un fournisseur de
service de gestion peut accéder.
ESET Gestion des correctifs et des vulnérabilités
ESET Gestion des correctifs et des vulnérabilités est une solution qui gère les vulnérabilités du système
d’exploitation et des applications. Cette solution fournit l’état des correctifs appliqués. ESET Gestion des correctifs
et des vulnérabilités vous permet de répérer les machines susceptibles d'être menacées en raison des systèmes
d'exploitation et des applications obsolètes. L’ordinateur client est analysé pour détecter tout logiciel installé
vulnérable aux risques de sécurité. Une gravité (score de risque) est attribuée aux informations sur la vulnérabilité
de la machine cliente. L’analyse automatisée avec signalement instantané à la console web ESET PROTECT vous
permet de hiérarchiser les vulnérabilités en fonction de la gravité, de gérer les risques de sécurité et d’allouer
efficacement les ressources. Un large éventail d’options de filtrage vous permet d’identifier les problèmes de
sécurité critiques et de vous concentrer sur ces problèmes. En outre, vous pouvez exécuter automatiquement des
analyses régulières des vulnérabilités à l’aide du planificateur. Le correctif réel est manuel, vous donnant un
contrôle total du moment où le correctif a lieu et du moment où vous devez redémarrer la machine (si un
redémarrage est nécessaire).
En gérant les vulnérabilités à titre de mesure préventive et en appliquant rapidement des correctifs de sécurité,
vous pouvez maintenir votre système d’exploitation et vos applications à jour avec les derniers correctifs,
réduisant ainsi le risque d’être exposé à des vulnérabilités et des exploits connus.
Fonctions principales d’ESET Gestion des correctifs et des vulnérabilités :
• Collecte automatiquement les informations sur les vulnérabilités du client
• Nivellement de la gravité des vulnérabilités
33
• Liste des clients cibles
Prérequis :
Pour utiliser ESET Gestion des correctifs et des vulnérabilités, vous devez gérer vos machines avec ESET
PROTECT, un outil de gestion de la sécurité basé sur le nuage.
ESET Gestion des correctifs et des vulnérabilités n’est pas disponible dans ESET PROTECT On-Prem.
Assurez-vous d’avoir l’un des niveaux de la plate-forme ESET PROTECT suivants :
• ESET PROTECT Complete
• ESET PROTECT Elite
• ESET PROTECT MDR
• ESET PROTECT MDR Ultimate
Pour activer et configurer ESET Gestion des correctifs et des vulnérabilités dans ESET PROTECT, consultez l’aide en
ligne ESET PROTECT pour plus d’informations. Vous pouvez également vous référer à la rubrique FAQ.
Paramètres d’ESET Gestion des correctifs et des vulnérabilités disponibles pour ESET Mail
Security :
• Activer la Gestion des correctifs et des vulnérabilités
• Planificateur pour la Gestion des correctifs et des vulnérabilités
• Espace disque minimal requis pour la gestion des correctifs
Les paramètres tels que la gestion des correctifs automatiques pour les applications, les mises à jour
automatiques du système d’exploitation et le redémarrage de l’ordinateur ne sont pas disponibles pour ESET Mail
Security. Ceux-ci sont conçus pour les ordinateurs clients exécutant ESET Endpoint Security pour Windows.
Surveillance
L'état de la protection indiqué dans la section Surveillance vous informe au sujet du niveau de protection actuel
de votre ordinateur. Un résumé de l'état du fonctionnement de ESET Mail Security sera affiché dans la fenêtre
principale.
L'indicateur
Vous êtes protégés qui s'affiche en vert indique que la protection maximale est assurée.
L'icône rouge signale des problèmes critiques - la protection maximale de votre système n'est pas assurée.
Les détails du message d'erreur devraient vous permettre de mieux comprendre l'état actuel. Si vous ne parvenez
pas à régler un problème effectuez une recherche dans la Base de connaissances d'ESET. Si vous avez besoin
d'aide, vous pouvez également soumettre une demande d'assistance. Le service d'assistance technique d'ESET
répondra rapidement à vos questions et vous aidera à trouver une solution à votre problème. Pour obtenir la liste
complète des états, ouvrez Configuration avancée (F5) > Notifications > États de l’application et cliquez sur
Modifier.
34
L'icône orange avec un point d'exclamation (!) indique que votre produit ESET nécessite une attention pour
un problème non critique.
Les modules qui fonctionnent correctement sont marqués d'une coche verte. Les modules qui ne fonctionnent
pas complètement sont marqués d'un point d'exclamation rouge ou d'une icône de notification orange. Des
informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de
solution pour corriger le module est également affichée.
Pour changer l'état de chacun des modules, cliquez sur Configuration dans le menu principal puis sur le module
souhaité.
La page Surveillance contient également des informations sur votre système, dont quelques unes sont citées cidessous :
• Version du produit - numéro de version de ESET Mail Security.
• Nom du serveur - nom d'hôte de la machine ou FQDN.
• Système - détails du système d'exploitation.
• Ordinateur - détails de l'ordinateur.
• Temps de disponibilité du serveur - indique depuis combien de temps le système fonctionne; il s'agit
fondamentalement de l'opposé du temps d'arrêt.
Nombre de boîtes de courriels
ESET Mail Security détecte le nombre de boîtes de courriels et affiche le décompte basé sur la détection :
35
• Domaine - Nombre de toutes les boîtes de courriels dans un domaine particulier auquel appartient le
serveur Exchange. Ce nombre s’applique également à un environnement DAG et à son nombre total de
boîtes de courriels.
• Local : Correspond au nombre de boîtes de courriels dans le serveur Exchange pour lesquels ESET Mail
Security est installé. Si le serveur appartient à un DAG, ce nombre correspond au nombre de boîtes de
courriels stockées sur le serveur Exchange local par rapport au nombre total de domaines.
Si vous ne pouvez régler un problème à l'aide des solutions suggérées, cliquez sur Aide et assistance pour accéder
aux fichiers d'aide ou effectuez une recherche dans la Base de connaissances ESET . Si vous avez besoin d'aide,
vous pouvez également soumettre une demande d'assistance. Le service d'assistance technique d'ESET répondra
rapidement à vos questions et vous aidera à trouver une solution à votre problème.
Mises à jour Windows disponibles
La fenêtre Mises à jour système affiche la liste des mises à jour disponibles, prêtes pour le téléchargement et
l'installation. Le niveau de priorité de chaque mise à jour s'affiche à côté de son nom. Cliquez à droite sur toute
rangée de mise à jour puis sur Plus d'information pour afficher une fenêtre avec de l'information
supplémentaire :
Cliquez sur Exécuter la mise à jour du système pour ouvrir la fenêtre Mise à jour de Windows et procéder aux
mises à jour du système.
36
Isolement réseau
ESET Mail Security vous fournit une option d’isolement réseau pour bloquer la connexion réseau de votre serveur.
Dans certains cas extrêmes, vous pouvez vouloir isoler un serveur du réseau à titre préventif. Par exemple, si vous
avez découvert que le serveur a été infecté par un logiciel malveillant ou que l'ordinateur a été compromis d'une
autre manière.
En activant l’isolement réseau, tout le trafic réseau est bloqué, sauf les éléments suivants :
• La connectivité avec le contrôleur de domaine demeure
• ESET Mail Security est toujours capable de communiquer
• Si ESET Management Agent et ESET Inspect On-PremConnector existent, ils peuvent communiquer sur le
réseau
Activez et désactivez l'isolement du réseau en utilisant la commande eShell ou la tâche client ESET PROTECT.
eShell
En mode interactif :
• Activer l’isolation réseau : activation avancée de l’isolation de l’ensemble du réseau
• Désactiver l'isolement du réseau : network advanced set status-isolation disable
Vous pouvez également créer et exécuter un fichier par lots en utilisant le mode par lot/script.
ESET PROTECT
• Activer l'isolement du réseau en utilisant la tâche client .
• Désactiver l'isolement du réseau en utilisant la tâche client.
37
Lorsque l'isolation du réseau est activée, l'état de ESET Mail Security passe au rouge avec le message Accès au
réseau bloqué.
Utiliser ESET Mail Security
Cette partie contient une description détaillée de l'interface utilisateur du programme. Son but est d'expliquer
comment utiliser ESET Mail Security.
L'interface utilisateur vous permet d'accéder rapidement aux fonctionnalités couramment utilisées :
• Surveillance
• Fichiers journaux
• Analyser
• Mettre à jour
• Quarantaine de courriel
• Configuration
• Outils
Fichiers journaux
Les fichiers journaux contiennent les événements importants qui se sont produits, fournissent un aperçu des
résultats d'analyse, des menaces détectées, etc. Les journaux constituent un outil puissant pour l'analyse
système, la détection de menaces et le dépannage. La consignation est toujours active en arrière-plan sans
interaction de l'utilisateur. Les informations sont enregistrées en fonction des paramètres de détail actifs. Il est
possible de consulter les messages texte et les journaux directement à partir de l'environnement ESET Mail
Security ou de les exporter pour les consulter à un autre endroit.
Sélectionnez le type de journal adéquat à partir du menu déroulant. Les journaux suivants sont disponibles :
Détections
Le journal des menaces contient des informations sur les infiltrations détectées par les modules ESET Mail
Security. Ces informations comprennent l'heure de détection, le nom de l'infiltration, l'emplacement, l'action
exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée.
Double-cliquez sur une entrée du journal pour afficher son contenu dans une fenêtre distincte. Au besoin, vous
pouvez créer une exclusion de détection : cliquez avec le bouton droit sur une entrée de journal (détection), puis
cliquez sur Créer une exclusion. L'assistant d’exclusion s'ouvre alors avec des critères prédéfinis. S’il existe un
nom de détection en regard d’un fichier exclu, cela signifie que le fichier n’est exclu que pour la détection
indiquée. Si ce fichier est infecté par la suite par d’autres logiciels malveillants, il sera détecté.
Événements
Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal des
événements. Le journal des événements contient des informations sur les événements qui se sont produits dans
38
le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Les
informations qu'il contient peuvent aider à trouver une solution à un problème qui s'est produit dans le
programme.
Analyse de l'ordinateur
Tous les résultats des analyses sont affichés dans cette fenêtre. Chaque ligne correspond à un seul contrôle
d'ordinateur. Double-cliquez sur une entrée pour afficher les détails de l'analyse correspondante.
Fichiers bloqués
Contient les entrées des fichiers ayant été bloqués et inaccessibles. Le protocole indique la raison du blocage et le
module source ayant bloqué le fichier, ainsi que l'application et l'utilisateur ayant exécuté le fichier.
Fichiers envoyés
Contient les entrées des fichiers de la protection dans le cloud, d'ESET LiveGuard Advanced et d'ESET LiveGrid®.
Journaux de vérification
Contient les entrées des modifications de l'état de la configuration ou de la protection et crée des instantanés
pour une référence ultérieure. Cliquez avec le bouton droit de la souris sur une entrée de type Modifications de
paramètre, puis sélectionnez Afficher les modifications dans le menu contextuel pour afficher des informations
détaillées sur la modification effectuée. Si vous souhaitez rétablir vos paramètres précédents, sélectionnez
Restaurer. Vous pouvez également utiliser Supprimer tout pour supprimer les entrées de journal. Si vous
souhaitez activer la journalisation d'audit, accédez à Configuration avancée > Outils > Fichiers journaux > Journal
d'audit.
HIPS
Contient des entrées de règles spécifiques qui sont marquées pour enregistrement. Le protocole affiche
l'application qui a appelé l'opération, le résultat (si la règle a été autorisée ou bloquée), ainsi que le nom de la
règle créée.
Protection du réseau
Contient les entrées des fichiers qui ont été bloqués par Anti-botnet et le système IDS (protection contre les
attaques réseau).
Sites Web filtrés
Liste des sites Web bloqués par la protection de l'accès Web et la protection anti-hameçonnage des messages.
Ces journaux affichent l'heure, l'URL, l'utilisateur et l'application ayant ouvert une connexion au site Web en
question.
Contrôle de périphérique
Contient des enregistrements des supports amovibles ou périphériques qui ont été connectés à l'ordinateur. Seuls
les périphériques auxquels correspond une règle de contrôle de périphérique seront enregistrés dans le fichier
journal. Si la règle ne correspond pas à un périphérique connecté, aucune entrée de journal ne sera créée pour un
périphérique connecté. Des détails figurent également tels que le type de périphérique, le numéro de série, le
nom du fournisseur et la taille du support (le cas échéant).
Gestion des vulnérabilités et des correctifs
39
Contient une liste des résultats d'analyse liés aux applications tierces.
Protection du serveur de messagerie
Tous les messages détectés par ESET Mail Security comme étant une infiltration ou du courrier indésirable sont
enregistrés ici. Ces journaux s'appliquent aux types de protection suivants : antispam, antihameçonnage, règles,
protection contre l’usurpation d’identité de l’expéditeur et contre les logiciels malveillants. Lorsque vous doublecliquez sur un élément, une fenêtre contextuelle s'ouvre.
Elle contient des informations supplémentaires sur l'e-mail telles que l'adresse IP, le domaine HELO, l'ID de
message et le type d'analyse indiquant la couche de protection sur laquelle il a été détecté. Vous pouvez
également consulter les résultats de l'analyse anti-logiciel malveillant, antihameçonnage et antispam et voir la
raison pour laquelle le message a été détecté et si une règle a été activée.
Tous les messages traités ne sont pas enregistrés dans un journal de la protection du serveur de
messagerie. Toutefois, tous les messages qui ont été modifiés (pièce jointe supprimée, chaîne
personnalisée ajoutée à un en-tête de message, etc.) sont écrits dans le journal.
Analyse de base de données de boîtes aux lettres
Contient la version du moteur de détection, la date, l'emplacement analysé, le nombre d'objets analysés, le
nombre de menaces détectées, le nombre d'applications des règles et l'heure d'achèvement.
Protection SMTP
Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont enregistrés dans ce
journal. Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont enregistrés dans
ce journal, ainsi que les messages évalués par la protection de rétrodiffusion et SPF. Chaque entrée contient le
domaine HELO, l'adresse IP de l'expéditeur et du destinataire, les états des actions (refusé, refusé (non vérifié) et
messages entrants vérifiés). Il existe une nouvelle action pour ajouter un sous-domaine mise en liste grise dans la
liste blanche (voir le tableau ci-dessous).
Analyse Hyper-V
contient la liste des résultats des analyses Hyper-V. Double-cliquez sur une entrée pour afficher les détails de
l'analyse correspondante.
40
Le menu contextuel (clic droit) permet de sélectionner une action sur l'entrée de journal sélectionnée :
Action
Utilisation
Raccourci
Afficher
Affiche des détails supplémentaires sur le journal sélectionné dans une nouvelle fenêtre (identique à un
double-clic).
Filtrer les enregistrements
identiques
Cette option active le filtrage des journaux et affiche uniquement les enregistrements du même type que Ctrl + Maj + F
celui sélectionné.
Filtrer...
Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir des critères de
filtrage pour des entrées de journal spécifiques.
Activer le filtre
Active les paramètres du filtre. Lorsque vous activez le filtrage pour la première fois, vous devez définir
des paramètres.
Désactiver le filtre
Désactive le filtrage (cette option revient à cliquer sur le commutateur dans la partie inférieure).
Copier
Copie les informations des entrées sélectionnées/en surbrillance dans le Presse-papiers.
Copier tout
Copie des informations de toutes les entrées dans la fenêtre.
Supprimer
Supprime les entrées sélectionnées/en surbrillance. Cette action requiert des privilèges d'administrateur. Suppr.
Supprimer tout
Supprime toutes les entrées de la fenêtre. Cette action requiert des privilèges d'administrateur.
Exporter...
Exporte les informations des entrées sélectionnées/en surbrillance dans un fichier XML.
Exporter tout...
Exporte toutes les informations de la fenêtre dans un fichier XML.
Rechercher...
Ouvre la fenêtre Rechercher dans le journal qui permet de définir des critères de recherche. Vous pouvez Ctrl + F
utiliser la fonctionnalité de recherche pour trouver un enregistrement spécifique même lorsque le filtrage
est activé.
Suivant
Recherche l'occurrence suivante des critères de recherche définis.
F3
Précédent
Recherche l'occurrence précédente.
Maj + F3
Créer une exclusion
Pour exclure des objets du nettoyage à l'aide du nom de la détection, du chemin d'accès ou du hachage.
Voir aussi
Filtrage des journaux
Ctrl + C
Rechercher dans le journal
Créer une exclusion
Ajouter l'adresse IP à la Ajoute l'adresse IP de l'expéditeur à la liste blanche des adresses IP. La liste blanche
liste blanche de mise en des adresses IP figure dans la section Mise en liste grise et SPF de l'option Filtrage
liste grise
et vérification. Cela s'applique aux éléments consignés par la mise en liste grise ou
SPF.
41
Ajouter le domaine à la Ajoute le domaine de l'expéditeur à la liste blanche des domaines en adresses IP.
liste blanche de mise en Seul le domaine est ajouté, le sous-domaine est ignoré. Par exemple, si l'adresse de
liste grise et SPF
l'expéditeur est sub.domain.com, seul domain.com est ajouté à la liste blanche. La
liste blanche des domaines en adresses IP figure dans la section Mise en liste grise
et SPF de l'option Filtrage et vérification. Cela s'applique aux éléments consignés
par la mise en liste grise.
Ajouter le sous-domaine Ajoute le sous-domaine de l'expéditeur à la liste blanche des domaines en adresses
à la liste blanche de mise IP. L'ensemble du domaine est ajouté, y compris le sous-domaine (par exemple,
en liste grise et SFP
sub.domain.com). Cela vous donne plus de flexibilité pour le filtrage, si nécessaire.
La liste blanche des domaines en adresses IP figure dans la section Mise en liste
grise et SPF de l'option Filtrage et vérification. Cela s'applique aux éléments
consignés par la mise en liste grise.
Filtrage des journaux
La fonctionnalité de filtrage des journaux vous permet de trouver les informations que vous recherchez, en
particulier lorsqu'il existe de nombreuses entrées. Elle permet de limiter les entrées de journal, par exemple, si
vous recherchez un type spécifique d'événement, d'état ou de période.
Vous pouvez filtrer les entrées de journal en spécifiant certaines options de recherche. Seules les entrées
pertinentes (en fonction de ces options de recherche) sont affichées dans la fenêtre Fichiers journaux.
Saisissez le mot-clé que vous recherchez dans le champ Rechercher le texte. Utilisez le menu déroulant
Rechercher dans les colonnes pour affiner votre recherche. Choisissez une ou plusieurs entrées dans le menu
déroulant Types d'entrée de journal. Définissez la Période à partir de laquelle vous souhaitez afficher les
résultats. Vous pouvez également utiliser d'autres options de recherche, telles que Mot entier ou Respecter la
casse.
42
Rechercher le texte
Saisissez une chaîne (mot ou partie de mot). Seuls les enregistrements contenant cette chaîne sont affichés. Les
autres enregistrements sont omis.
Rechercher dans les colonnes
Sélectionnez les colonnes à prendre en compte lors de la recherche. Vous pouvez cocher une ou plusieurs
colonnes à utiliser pour la recherche.
Types d'enregistrements
Choisissez un ou plusieurs types d'entrée de journal dans le menu déroulant :
• Diagnostic - Consigne toutes les informations nécessaires au réglage du programme et de toutes les
entrées ci-dessus.
• Entrées informatives - Enregistre tous les messages d'information, y compris les messages de mises à jour
réussies et toutes les entrées ci-dessus.
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
43
• Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les erreurs critiques.
• Critique - Consigne uniquement les erreurs critiques.
Période
Définissez la période pour laquelle vous souhaitez afficher les résultats :
• Non spécifié (option par défaut) - N'effectue aucune recherche dans la période ; effectue une recherche
dans l'intégralité du journal.
• Jour antérieur
• Dernière semaine
• Dernier mois
• Période - Vous pouvez indiquer la période exacte (De : et À :) afin de filtrer les enregistrements
correspondant à la période indiquée.
Mot entier
Utilisez cette case à cocher si vous souhaitez rechercher des mots complets afin d'obtenir des résultats plus
précis.
Respect de la casse
Activez cette option s'il est important d'utiliser des majuscules et des minuscules lors du filtrage. Une fois que
vous avez configuré vos options de filtrage/recherche, cliquez sur OK pour afficher les entrées de journal filtrées
ou sur Rechercher pour lancer la recherche.
La recherche dans les fichiers journaux s'effectue de haut en bas, à partir de la position actuelle (de
l'enregistrement sélectionné). La recherche s'arrête lorsqu'elle trouve le premier enregistrement correspondant.
Appuyez sur F3 pour rechercher l'enregistrement suivant ou cliquez avec le bouton droit et sélectionnez
Rechercher pour affiner vos options de recherche.
Analyser
L'analyseur à la demande est un composant important d'ESET Mail Security. Il permet d'analyser des fichiers et
des répertoires de votre ordinateur. Pour assurer la protection du réseau, il est essentiel que l'ordinateur soit
analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de
sécurité routinières.
Nous vous recommandons d'effectuer des analyses en profondeur de votre système de façon régulière (une fois
par mois, par exemple) afin de détectés les virus qui ne l'ont pas été par la protection en temps réel du système
de fichiers. Cela peut se produire si la protection en temps réel du système de fichiers était désactivée au moment
de l'infection, si le moteur de détection n'a pas été mis à jour ou si le fichier n'a pas été détecté lors de son
enregistrement sur le disque.
Sélectionnez les analyses à la demande disponibles pour ESET Mail Security :
Analyse de base de données de boîtes aux lettres
44
Permet d'exécuter une analyse de base de données à la demande. Vous pouvez choisir d'analyser des dossiers
publics, des serveurs de messagerie et des boîtes aux lettres. Vous pouvez également utiliser le Planificateur pour
exécuter une analyse de base de données à un moment spécifique ou lors d'un événement en particulier.
Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez choisir entre la
protection de la base de données de boîtes aux lettres et une analyse de base de données à la demande.
Seul un type de protection peut être activé à la fois. Si vous choisissez d'utiliser l'analyse de base de
données à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes
aux lettres dans Configuration avancée, sous Serveur. Sinon, l'analyse de base de données à la demande ne
sera pas disponible.
Analyse des boîtes aux lettres Microsoft 365
Permet d'analyser les boîtes aux lettres distantes dans les environnements hybrides Microsoft 365.
Analyse du stockage
Analyse tous les dossiers partagés sur le serveur local. Si l'option Analyse du stockage n'est pas disponible, aucun
dossier partagé ne se trouve sur le serveur.
Analyse de l'ordinateur
Permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de
l'utilisateur. L'analyse de l'ordinateur présente l'intérêt d'être facile à utiliser et de ne pas nécessiter de
configuration détaillée. L'analyse vérifie tous les fichiers des disques locaux, et nettoie ou supprime
automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé sur sa valeur par
défaut. Pour plus d'informations sur les types de nettoyage, reportez-vous à la section Nettoyage.
Nous recommandons d'exécuter une analyse d'ordinateur au moins une fois par mois. L'analyse peut être
configurée comme tâche planifiée.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez spécifier des paramètres d'analyse tels que les
cibles et les méthodes d'analyse. L'analyse personnalisée a l'avantage de permettre la configuration précise des
paramètres d'analyse. Les configurations peuvent être enregistrées dans des profils d'analyse définis par
l'utilisateur, qui sont utiles pour effectuer régulièrement une analyse avec les mêmes paramètres.
Analyse de supports amovibles
Semblable à l'analyse intelligente, ce type d'analyse lance rapidement une analyse des supports amovibles (par
ex. CD/DVD/USB) qui sont connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un
ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces
potentielles. Pour lancer ce type d'analyse, vous pouvez aussi cliquer sur Analyse personnalisée, puis sélectionner
Supports amovibles dans le menu déroulant Cibles à analyser et cliquer sur Analyser.
Analyse Hyper-V
Cette option s'affiche dans le menu uniquement si Hyper-V Manager est installé sur le serveur qui exécute ESET
Mail Security. L'analyse Hyper-V permet d'analyser les disques d'une machine virtuelle sur un serveur Microsoft
Hyper-V sans que le moindre agent ne soit installé sur cette machine virtuelle spécifique.
Répéter la dernière analyse
45
Répète la dernière opération d'analyse avec les mêmes paramètres.
L'option Répéter la dernière analyse n'est pas disponible si l'analyse de base de données à la demande est
présente.
Vous pouvez utiliser des options et afficher plus d'informations sur les états d'analyse :
Glisser-déposer des
fichiers
Vous pouvez également placer des fichiers par glisser-déposer dans la fenêtre d'analyse de ESET Mail Security. Ces fichiers seront analysés
immédiatement à la recherche de virus.
Fermer/Fermer tout
Fermeture des messages donnés.
États d'analyse
Permet d'afficher l'état de l'analyse initiale. Cette analyse s'est terminée ou a été interrompue par l'utilisateur.
Afficher le journal
Affiche des informations détaillées.
Plus d\'infos
Permet, pendant l'analyse, d'afficher des informations détaillées telles que l'utilisateur qui a exécuté l'analyse, le nombre d'objets analysés et la durée de
l'analyse. Si l'analyse de base de données à la demande est en cours, elle indique l'utilisateur qui a exécuté l'analyse, mais pas le compte d'analyse de
base de données proprement dit qui est utilisé pour établir la connexion à EWS (Exchange Web Services) pendant l'analyse.
Ouvrir la fenêtre d'analyse La fenêtre de progression de l'analyse indique l'état actuel de l'analyse, ainsi que des informations sur le nombre de fichiers contenant du code
malveillant qui sont détectés.
Fenêtre Analyse et journal d'analyse
La fenêtre d'analyse affiche les objets actuellement analysés, y compris leur emplacement, le nombre de menaces
détectées (le cas échéant), le nombre d'objets analysés et la durée de l'analyse. La partie inférieure de la fenêtre
est un journal d'analyse qui indique le numéro de version du moteur de détection, la date et l'heure du début de
l'analyse et la sélection de la cible.
Une fois l'analyse en cours, vous pouvez cliquer sur Suspendre si vous souhaitez interrompre temporairement
l'analyse. L'option Reprendre est disponible lorsque le processus d'analyse est interrompu.
46
Faire défiler le journal de l’analyse
Laissez cette option activée pour que les anciens journaux défilent automatiquement et pour consulter les
journaux actifs dans la fenêtre Fichiers journaux.
Il est normal que certains fichiers, protégés par mot de passe ou exclusivement utilisés par le système (en
général pagefile.sys et certains fichiers journaux), ne puissent pas être analysés.
Une fois l'analyse terminée, le journal d'analyse affiche toutes les informations pertinentes liées à l'analyse
spécifique.
47
Cliquez sur l'icône du commutateur
Filtrage pour ouvrir la fenêtre Filtrage du journal dans laquelle vous
pouvez définir des critères de filtrage ou de recherche. Pour afficher le menu contextuel, cliquez avec le bouton
droit sur une entrée de journal spécifique :
Action
Utilisation
Filtrer les
enregistrements
identiques
Cette option active le filtrage des journaux et affiche uniquement les enregistrements du même type que celui
sélectionné.
Filtrer...
Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir des critères de filtrage pour
des entrées de journal spécifiques.
Activer le filtre
Active les paramètres du filtre. Lorsque vous activez le filtrage pour la première fois, vous devez définir des
paramètres.
Désactiver le filtre
Désactive le filtrage (cette option revient à cliquer sur le commutateur dans la partie inférieure).
Copier
Copie les informations des entrées sélectionnées/en surbrillance dans le Presse-papiers.
Copier tout
Copie des informations de toutes les entrées dans la fenêtre.
Exporter...
Exporte les informations des entrées sélectionnées/en surbrillance dans un fichier XML.
Exporter tout...
Exporte toutes les informations de la fenêtre dans un fichier XML.
Raccourci
Voir aussi
Ctrl + Maj + F
Filtrage des journaux
Ctrl + C
Mettre à jour
Dans la section Mise à jour, vous pouvez connaître l'état actuel de la mise à jour de ESET Mail Security,
notamment la date et l'heure de la dernière mise à jour. La mise à jour régulière d'ESET Mail Security est la
meilleure méthode pour conserver le niveau maximum de sécurité de votre serveur.
Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour le
moteur de détection et les composants système. La mise à jour du moteur de détection et celle des composants
du programme sont des opérations importantes de la protection totale contre les attaques des codes
malveillants.
48
Si vous n'avez pas encore entré la clé de licence, vous ne pourrez pas recevoir de mises à jour et vous serez
invité à activer votre produit. Pour ce faire, accédez à Aide et assistance > Activer le produit.
• Version actuelle - Version du build ESET Mail Security.
• Dernière mise à jour réussie - Date de la dernière mise à jour. Vérifiez qu'il s'agit d'une date récente
indiquant que les modules sont à jour.
• Dernière recherche de mises à jour - Date de la dernière tentative de mise à jour des modules.
• Afficher tous les modules - Permet d'afficher la liste des modules installés.
• Rechercher des mises à jour - La mise à jour des modules est une opération importante de la protection
totale contre les attaques des codes malveillants.
• Modifier la fréquence des mises à jour - Vous pouvez modifier la fréquence de la tâche du planificateur
Mise à jour automatique régulière.
Les options du serveur proxy peuvent varier selon les profils de mise à jour. Si c'est le cas, configurez les
différents profils de mise à jour dans Configuration avancée (F5) en cliquant sur Mise à jour > Profil.
Quarantaine de messages
Les e-mails et leurs composants, comme les pièces jointes, sont mis dans la Quarantaine des messages au lieu de
la quarantaine des fichiers classique. La Quarantaine des messages permet de gérer plus facilement le courrier
indésirable, les pièces jointes infectées contenant des logiciels malveillants ou les messages d'hameçonnage. Il
49
existe plusieurs raisons différentes pour lesquelles les e-mails sont mis en quarantaine, en fonction du module de
protection ESET Mail Security qui gère le message (Anti-logiciels malveillants, Antispam, Anti-hameçonnage,
Protection contre l’usurpation d’identité de l’expéditeur ou Règles).
Filtrage par icône
Vous pouvez utiliser des icônes pour filtrer les messages afin d'afficher les pièces jointes, les e-mails ou les e-mails
contenant des pièces jointes uniquement.
Intervalle de temps
Sélectionnez l'intervalle de temps pendant lequel vous souhaitez afficher les e-mails en quarantaine. Lorsque vous
sélectionnez Personnaliser, vous pouvez spécifier une plage (Date de début et Date de fin).
Nœuds du cluster
Sélectionnez les nœuds de cluster pour lesquels vous souhaitez afficher les e-mails en quarantaine.
Recherche rapide
Saisissez une chaîne dans la zone de texte pour filtrer les messages électroniques affichés (toutes les colonnes
font l'objet d'une recherche).
Type
Utilisez les cases à cocher pour filtrer davantage par type (courrier indésirable, logiciel malveillant, règle,
hameçonnage ou identité de l'expéditeur usurpée).
Les données du gestionnaire de quarantaine de messages ne sont pas automatiquement mises à jour. Il est
recommandé de cliquer régulièrement sur Actualiser
la quarantaine de messages.
50
pour afficher les éléments les plus récents dans
Libérer
Libère l'e-mail pour le ou les destinataires d'origine à l'aide du répertoire de lecture et le supprime de la
quarantaine. Cliquez sur Oui pour confirmer l'action. Si l'élément mis en quarantaine est une pièce jointe du
dossier public ne prenant pas en charge les e-mails, le bouton Libérer n'est pas disponible.
Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security ignore l'en-tête MIME
To:, car il peut être facilement usurpé. Il utilise à la place les informations de destinataire d'origine de la
commande RCPT TO:, acquises pendant la connexion SMTP. Le destinataire correct reçoit ainsi le message
qui est libéré de la quarantaine.
Si vous exécutez un environnement en groupe et que vous libérez un message de la quarantaine, ce dernier
ne sera pas remis en quarantaine par les autres nœuds ESET Mail Security. Cela est réalisé par la
synchronisation des règles entre les nœuds du groupe.
Libérer vers
Si vous ne souhaitez pas libérer un e-mail pour tous les destinataires, utilisez cette option pour sélectionner des
destinataires spécifiques qui recevront l'e-mail libéré. Cette option n'est disponible que pour les messages
comportant plusieurs destinataires.
Supprimer
Supprime les éléments de la quarantaine. Cliquez sur Oui pour confirmer l'action. Les éléments supprimés via la
fenêtre principale du programme sont retirés de la vue Quarantaine, mais toujours stockés. Ceux-ci sont
51
automatiquement supprimés ultérieurement (après trois jours par défaut).
Supprimer définitivement
Supprime les éléments de la vue de quarantaine et les supprime du stockage. Cliquez sur Oui pour confirmer
l'action.
Détails du message mis en quarantaine
Double-cliquez sur le message mis en quarantaine ou cliquez avec le bouton droit et sélectionnez Afficher les
détails. Une nouvelle fenêtre s'ouvre. Elle contient des détails sur l'e-mail mis en quarantaine. Vous pouvez
également consulter les en-têtes d'e-mail RFC d'origine pour obtenir plus de détails.
Détails de la pièce jointe mise en quarantaine
Lorsqu'une pièce jointe fait l'objet d'un double-clic, la boîte de dialogue des détails est différente de celle d'un
message. Les en-têtes RFC ne sont pas disponibles, mais une zone comportant un texte d'enveloppe de pièce
jointe est affichée. Vous pouvez saisir un texte personnalisé d'enveloppe de pièce jointe lorsque vous la libérez de
la mise en quarantaine des messages.
Ces actions sont également disponibles dans le menu contextuel. Si vous le souhaitez, cliquez sur Libérer,
Supprimer ou Supprimer définitivement pour exécuter une action sur un message mis en quarantaine. Cliquez
sur Oui pour confirmer l'action. Si vous choisissez Supprimer définitivement, le message est également supprimé
du système de fichiers, contrairement à l'option Supprimer qui supprime l'élément de la vue du gestionnaire de
quarantaine de messages.
52
Configuration
La fenêtre du menu Configuration contient les sections suivantes :
• Serveur
• Ordinateur
• Réseau
• Internet et messagerie
• Outils - Journalisation des données de diagnostic
53
Pour désactiver temporairement un module, cliquez sur la barre du curseur vert
opération peut diminuer le niveau de protection de l'ordinateur.
située en regard. Cette
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du curseur rouge
située en regard. Le composant revient à un état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur l'icône représentant un
engrenage .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez les paramètres
de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à l'écran Configuration
avancée, appuyez sur F5 depuis n'importe où dans le programme.
Serveur
La liste des composants que vous pouvez activer/désactiver à l'aide de la barre du curseur
s'affiche. Pour
configurer les paramètres d'un élément spécifique, cliquez sur l'icône représentant un engrenage .
Protection antivirus
Vous protège des attaques contre le système en contrôlant les échanges de fichiers et de courrier, ainsi que les
54
communications Internet.
Protection antispam
Intègre différentes technologies (RBL, DNSBL, empreintes digitales, vérification de la réputation, analyse de
contenu, règles, création manuelle de liste blanche/noire, etc.) afin d'optimiser la détection des menaces par email.
Protection antihameçonnage
Analyse le corps des messages entrants pour les liens de de hameçonnage (URL).
Exclusions automatiques
Identifie les applications serveur et les fichiers du système d'exploitation serveur critiques, puis les ajoute
automatiquement à la liste des exclusions. Cette fonctionnalité réduira le risque de conflits potentiels et
augmentera les performances globales du serveur lors de l'exécution du logiciel de détection de menaces.
Configuration des composants
Gestion du cluster
Permet de configurer et activer ESET Cluster.
L'analyse de base de données de boîtes aux lettres Microsoft 365
Pour activer cette fonctionnalité, enregistrez l'analyseur ESET Mail Security.
55
Cluster
ESET Cluster est une infrastructure de communication P2P de la gamme des produits ESET pour
Microsoft Windows Server. ESET Cluster convient particulièrement bien si vous disposez d'une infrastructure
Exchange avec plusieurs serveurs tels qu'un DAG.
Cette infrastructure permet aux produits serveur d'ESET de communiquer les uns avec les autres et d'échanger
des données (configuration et notifications, par exemple), ainsi que de synchroniser les bases de données de mise
en liste grise et les données nécessaires pour le fonctionnement correct d'un groupe d'instances de produit. Un
exemple de ce type de groupe peut être un groupe de nœuds dans un cluster de basculement Windows ou un
cluster d'équilibrage de la charge réseau doté de produits ESET et dans lequel la configuration des produits doit
être identique dans l'ensemble du cluster. ESET Cluster assure cette cohérence entre les instances.
Les paramètres de l'interface utilisateur et des tâches planifiées ne sont pas synchronisés entre les nœuds
d'ESET Cluster. Cela est fait exprès, Par exemple pour empêcher l'exécution d'une analyse planifiée de la
base de données à la demande sur tous les nœuds du groupe en même temps, sans entraîner de
problèmes de performance inutiles.
Les journaux de la protection du serveur de messagerie sont séparés pour chaque nœud du groupe ; les
journaux ne sont donc pas synchronisés. Vous pouvez utiliser la fonctionnalité Exporter vers le serveur
syslog sur chaque nœud pour que les journaux soit dupliqués sur le serveur Syslog au format CEF ou en vue
de leur utilisation avec un outil SIEM. Vous pouvez également utiliser Exporter dans les journaux des
applications et des services Windows si vous préférez rassembler les journaux à partir de cet emplacement.
La création d'ESET Clusters entre ESET Mail Security et ESET File Security pour Linux n'est pas pris en
charge.
Lors de la configuration d'ESET Cluster, vous pouvez ajouter des nœuds de deux manières :
• Détecter auto : Ajoute automatiquement à ESET Cluster les nœuds déjà membres d'un cluster de
basculement Windows/d'équilibrage de la charge réseau.
• Parcourir : vous pouvez ajouter manuellement des nœuds en saisissant les noms des serveurs (membres
d'un même groupe de travail ou d'un même domaine).
Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security ignore l'en-tête MIME
To:, car il peut être facilement usurpé. Il utilise à la place les informations de destinataire d'origine de la
commande RCPT TO:, acquises pendant la connexion SMTP. Le destinataire correct reçoit ainsi le message
qui est libéré de la quarantaine.
Une fois que vous avez ajouté des nœuds à ESET Cluster, l'étape suivante consiste à installer ESET Mail Security
sur chaque nœud. Cette installation est effectuée automatiquement lors de la configuration d'ESET Cluster.
Informations d'identification nécessaires pour une installation à distance d'ESET Mail Security sur d'autres nœuds
du cluster :
• Domaine : informations d'identification de l'administrateur du domaine.
• Groupe de travail : vous devez veiller à ce que tous les nœuds utilisent les mêmes informations
d'identification de compte d'administrateur local.
Dans ESET Cluster, vous pouvez également utiliser une combinaison de nœuds automatiquement ajoutés en tant
que membres d'un cluster de basculement Windows/d'équilibrage de la charge réseau existant et de nœuds
manuellement ajoutés (à condition qu'ils se trouvent dans le même domaine).
56
Vous ne pouvez pas combiner des nœuds de domaine et des nœuds de groupe de travail.
L'utilisation d'ESET Cluster exige également que l'option Partage de fichiers et d'imprimantes soit activée dans le
Pare-feu Windows avant que ESET Mail Security ne soit poussé sur les nœuds d'ESET Cluster.
Vous pouvez ajouter à tout moment de nouveaux nœuds à un ESET Cluster existant en exécutant l'Assistant
Cluster.
Importer des certificats
Les certificats servent à fournir une authentification forte de machine à machine lorsque le protocole HTTPS est
utilisé. Il existe une hiérarchie de certificats indépendante pour chaque cluster ESET. La hiérarchie possède un
certificat racine et un ensemble de certificats de nœud signés par le certificat racine. La clé privée du certificat
racine est détruite après la création de tous les certificats de nœud. Lorsque vous ajoutez un nouveau nœud au
cluster, une nouvelle hiérarchie de certificats est créée. Accédez au dossier qui contient les certificats (qui ont été
générés pendant l'Assistant Cluster). Sélectionnez le fichier de certificat et cliquez sur Ouvrir.
Détruire le cluster
Vous pouvez démanteler des ESET Cluster. Chaque nœud écrit alors un enregistrement sur la destruction d'ESET
Cluster dans son journal des événements. Ensuite, toutes les règles du pare-feu ESET sont supprimées du Pare-feu
Windows. Les anciens nœuds reviennent alors à leur état initial et peuvent être réutilisés dans un autre ESET
Cluster, si nécessaire.
Assistant Cluster - Sélectionner des nœuds
Lors de la configuration d'un ESET Cluster, la première étape consiste à ajouter des nœuds. Vous pouvez utiliser
l'option Détection automatique ou la commande Parcourir pour ajouter des nœuds. Vous pouvez également
saisir le nom du serveur dans la zone de texte, puis cliquer sur le bouton Ajouter.
Détecter auto.
Ajoute automatiquement les nœuds d'un Windows Failover Cluster/d'un Network Load Balancing (NLB) Cluster
existant. Le serveur à partir duquel vous créez l'ESET Cluster doit être membre de ce Windows Failover
Cluster/d'NLB Cluster pour pouvoir ajouter automatiquement les nœuds. La fonctionnalité Autoriser le contrôle à
distance doit être activée dans les propriétés du cluster d'équilibrage de la charge réseau afin qu' puisse détecter
correctement les nœuds. Une fois que vous disposez de la liste des nœuds nouvellement ajoutés.
Parcourir
Permet de rechercher des ordinateurs et de les sélectionner dans un Domain ou un Workgroup. Cette méthode
permet d'ajouter manuellement des nœuds à ESET Cluster. Une autre méthode pour ajouter des nœuds consiste
à saisir le nom d'hôte du serveur à ajouter, puis à cliquer sur Ajouter.
Charger
Permet d'importer la liste des nœuds depuis le fichier.
57
Pour modifier des nœuds de cluster dans la liste, sélectionnez le nœud que vous souhaitez supprimer, puis
cliquez sur Supprimer. Pour effacer entièrement la liste, cliquez sur Supprimer tout.
Si vous disposez déjà d'un ESET Cluster, vous pouvez à tout moment y ajouter de nouveaux nœuds. La procédure
est identique à celle décrite ci-dessus.
Tous les nœuds qui sont conservés dans la liste doivent être en ligne et accessibles. Par défaut, Localhost
est ajouté aux nœuds du cluster.
Assistant Cluster - Paramètres du cluster
Définissez le nom d'un cluster et d'autres paramètres propres au réseau (si nécessaire).
Nom du cluster
Saisissez un nom pour le cluster, puis cliquez sur Suivant.
Port d'écoute - Le port par défaut est 9777
Si vous utilisez déjà le port 9777 dans votre environnement réseau, indiquez un autre numéro de port qui ne sera
pas utilisé.
Ouvrir le port dans le Pare-feu Windows
58
Lorsque cette option est sélectionnée, une règle est créée dans le Pare-feu Windows.
Assistant Cluster - Paramètres de configuration du
cluster
Définissez le mode de distribution des certificats et l'installation ou non du produit sur les autres nœuds.
Distribution de certificats
• Automatique à distance : le certificat est installé automatiquement.
• Manuelle : cliquez sur Générer et sélectionnez le dossier dans lequel stocker les certificats. Les certificats
suivants sont créés : un certificat racine et un certificat pour chaque nœud, notamment pour celui
(ordinateur local) à partir duquel vous configurez ESET Cluster. Pour inscrire le certificat sur l'ordinateur
local, cliquez sur Oui.
Installation du produit sur les autres nœuds
• Automatique à distance - ESET Mail Security est installé automatiquement sur chaque nœud (à condition
que l'architecture des systèmes d'exploitation soit identique).
• Manuelle : installez manuellement ESET Mail Security (lorsque les architectures des systèmes
d'exploitation sont différentes sur certains nœuds, par exemple).
Transmettre la licence aux nœuds sans produit activé
ESET Security active automatiquement les solutions ESET installées sur les nœuds sans licence.
Pour créer un ESET Cluster avec une architecture de système d'exploitation mixtes (32 et 64 bits), installez
ESET Mail Security manuellement. Les systèmes d'exploitation utilisés sont détectés lors des étapes
suivantes. Ces informations sont alors affichées dans la fenêtre de journal.
Assistant Cluster - Vérification des nœuds
Une fois les informations d'installation spécifiées, une vérification des nœuds est exécutée. Les informations
suivantes sont affichées dans le journal de vérification des nœuds :
• Tous les nœuds existants sont en ligne.
• Les nouveaux nœuds sont accessibles
• Le nœud est en ligne.
• Le partage administratif est accessible.
• Une exécution à distance est possible.
• Les versions de produit correctes (ou aucun produit) sont installées.
59
• Les nouveaux certificats sont présents.
Le rapport est disponible une fois que la vérification des nœuds est terminée :
60
Assistant Cluster - Installation des nœuds
Lors de l'installation sur une machine distante pendant l'initialisation d'ESET Cluster, l'assistant tente de trouver le
programme d'installation dans le répertoire %ProgramData%\ESET\ESET Security\Installer. Si le package
d'installation ne figure pas dans ce répertoire, le système vous demande de localiser le fichier du programme
d'installation.
61
Lorsque vous tentez d'utiliser une installation à distance automatique pour un nœud doté d'une autre
architecture (32 bits par rapport à 64 bits), le programme le détecte et vous invite à effectuer une
installation manuelle.
62
Une fois que vous avez correctement configuré ESET Cluster, il apparaît comme étant activé dans la page
Configuration > Serveur.
Si une ancienne version de ESET Mail Security est déjà installée sur certains nœuds, le système vous
informe que la version la plus récente est requise sur ces machines. La mise à jour de ESET Mail Security
peut entraîner un redémarrage automatique.
Vous pouvez en outre vérifier son état actuel dans la page d'état du cluster (Configurations avancées (F5) > Outils
> Cluster).
Ordinateur
ESET Mail Security possède tous les composants nécessaires pour assurer la protection du serveur en tant
qu'ordinateur. Ce module permet d'activer/de désactiver et de configurer les composants suivants :
Protection en temps réel du système de fichiers
Tous les fichiers ouverts, créés ou exécutés sur l'ordinateur sont analysés pour y rechercher la présence
éventuelle de code malveillant. Pour la protection en temps réel du système de fichiers, il existe également une
option pour configurer ou modifier les exclusions. Cette option ouvre la fenêtre de configuration des exclusions
dans laquelle vous pouvez exclure de l'analyse des fichiers et des dossiers.
Contrôle de périphérique
63
Ce module permet d'analyser, de bloquer ou d'ajuster les filtres étendus/autorisations, et de définir les
autorisations des utilisateurs à accéder à un périphérique et à l'utiliser.
Système HIPS (Host Intrusion Prevention System)
Le système surveille les événements qui se produisent dans le système d'exploitation et réagit en fonction d'un
ensemble de règles personnalisées.
• Advanced Memory Scanner
• Bloqueur d'exploit
• Protection anti-ransomware
Mode de présentation
Fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors de l'utilisation de leur logiciel. Ils
ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent réduire les contraintes sur l'UC. Vous
recevez un message d'avertissement (risque potentiel de sécurité) et la fenêtre principale devient orange lorsque
le mode de présentation est activé.
Désactiver la protection antivirus et antispyware
Lorsque vous désactivez temporairement la protection antivirus et antispyware, vous pouvez sélectionner la
durée de désactivation du composant sélectionné dans le menu déroulant et cliquer sur Appliquer pour
désactiver le composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus et
antispyware ou utilisez la barre du curseur.
64
Réseau
Il autorise ou refuse les différentes connexions réseau en se basant sur vos règles de filtrage. Il fournit une
protection contre les attaques en provenance d'ordinateurs distants et permet de bloquer certains services
potentiellement dangereux.
Le module Réseau permet d'activer/de désactiver et de configurer les composants suivants :
Protection contre les attaques réseau (IDS)
Analyse le contenu du trafic réseau et protège contre les attaques réseau. Tout trafic considéré comme nuisible
sera bloqué..
Protection Anti-Botnet
Détection et blocage de la communication du botnet. Détecte rapidement et précisément les logiciels malveillants
sur le système.
Liste noire temporaire des adresses IP (adresses bloquées)
Afficher la liste des adresses IP qui ont été détectées comme source d'attaques et ajoutées à la liste noire pour
bloquer les connexions pendant une certaine période
Connexions réseau
Affiche les réseaux où les cartes réseau sont connectées avec des informations détaillées.
Dépannage de la protection de l'accès réseau
Résoudre les communications bloquées
Permet de résoudre les problèmes de connectivité liés à la protection contre les attaques réseau.
Résoudre les adresses IP temporairement bloquées
Affichez la liste des adresses IP qui ont été détectées comme source d'attaques et ajoutées à la liste noire pour
bloquer les connexions pendant une certaine période.
Afficher les journaux
Une analyse approfondie de ces données peut aider à détecter les tentatives de compromission de la sécurité du
système. De nombreux autres facteurs indiquent des risques potentiels pour la sécurité et vous permettent de
minimiser leur impact : connexions fréquentes à partir de lieux inconnus, tentatives multiples d'établissement de
connexions, applications inconnues communiquant ou numéros de port inhabituels utilisés.
65
Connexions réseau
Les détails de la connexion réseau et de la carte réseau peuvent permettre d'identifier le réseau que vous essayez
de configurer dans la protection de l'accès réseau. Double-cliquez sur une connexion dans la liste des connexions
réseau pour afficher ses détails ainsi que ceux de la carte réseau.
Pointez sur une connexion réseau spécifique pour choisir l'une des options suivantes :
• Modifier—Ouvre la fenêtre Configurer la protection du réseau dans laquelle vous pouvez attribuer un
profil de protection réseau au réseau spécifique.
• Oublier : rétablit la configuration par défaut de la connexion réseau.
Configuration de la protection du réseau
Par défaut, ESET Mail Security utilise les paramètres Windows lorsqu'une nouvelle connexion réseau est détectée.
Pour afficher une boîte de dialogue lorsqu'un nouveau réseau est détecté, définissez l'attribution du profil de
protection du réseau sur Demander. La configuration de la protection du réseau s'affiche chaque fois que votre
ordinateur se connecte à un nouveau réseau.
66
Vous pouvez choisir parmi les profils de connexion réseau suivants :
Automatique : ESET Mail Security sélectionne automatiquement le profil, en fonction des activateurs configurés
pour chaque profil.
Privé : pour les réseaux approuvés (réseau domestique ou professionnel). Votre ordinateur et les fichiers partagés
qui y sont stockés sont visibles par les autres utilisateurs du réseau, et les ressources du système sont accessibles
aux autres utilisateurs du réseau (l'accès aux fichiers et aux imprimantes partagés est activé, la communication
RPC entrante est activée et le partage du bureau à distance est disponible). Nous vous recommandons d'utiliser
ce paramètre lorsque vous accédez à un réseau local sécurisé. Ce profil est automatiquement attribué à une
connexion réseau si celle-ci est configurée en tant que domaine ou réseau privé dans Windows.
Public : pour les réseaux non approuvés (réseau public). Les fichiers et les dossiers de votre système ne sont ni
partagés ni visibles par les autres utilisateurs du réseau, et le partage des ressources système est désactivé. Nous
vous recommandons d'utiliser ce paramètre lors de l'accès aux réseaux sans fil. Ce profil est automatiquement
attribué à toute connexion réseau qui n'est pas configurée en tant que domaine ou réseau privé dans Windows.
Profil défini par l'utilisateur : vous pouvez sélectionner un profil que vous avez créé dans le menu déroulant.
Cette option n'est disponible que si vous avez créé au moins un profil personnalisé.
Une configuration réseau incorrecte peut présenter un risque pour la sécurité de votre ordinateur.
67
Résoudre les communications bloquées
L'assistant de dépannage vous aide à résoudre les problèmes de connectivité générés par le pare-feu. Choisissez si
vous souhaitez afficher les communications bloquées pour les applications locales ou les communications
bloquées des appareils distants.
Sélectionnez une période dans le menu déroulant pendant laquelle les communications ont été bloquées. La liste
des communications récemment bloquées vous donne une vue d’ensemble du type d'application ou de l’appareil,
de la réputation et du nombre total d’applications et d’appareils bloqués pendant cette période. Pour plus
d’informations sur les communications bloquées, cliquez sur Détails.
L’étape suivante consiste à débloquer l’application ou l’appareil avec lesquels vous rencontrez des problèmes de
connectivité.
Lorsque vous cliquez sur Débloquer, la communication précédemment bloquée est autorisée. Si vous continuez à
rencontrer des problèmes avec une application ou si votre appareil ne fonctionne pas comme prévu, cliquez sur
Créer une autre règle. Toutes les communications précédemment bloquées pour cet appareil seront alors
autorisées. Si le problème persiste, redémarrez l’ordinateur.
Cliquez sur Ouvrir les règles du pare-feu pour afficher les règles créées par l'assistant.
Si la règle ne peut pas être créée, un message d'erreur s'affiche. Cliquez sur Réessayer et répétez le processus
pour débloquer les communications ou créez une autre règle à partir de la liste des communications bloquées.
Internet et messagerie
Le module Internet et messagerie permet d'activer/de désactiver et de configurer les composants suivants :
Protection de l'accès Web
Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé afin d'y rechercher des codes malveillants.
Protection antihameçonnage
Vous protège des tentatives d'acquisition de mots de passe, de données bancaires ou d'autres informations
sensibles par des sites Web non légitimes se faisant passer pour des sites Web dignes de confiance.
Protection du client de messagerie
Contrôle les communications reçues via les protocoles POP3 et IMAP.
68
Outils - Journalisation des données de diagnostic
Vous pouvez activer la journalisation des données de diagnostic lorsque vous avez besoin d'informations
détaillées sur le comportement d'une fonctionnalité spécifique de ESET Mail Security, lors de la résolution de
problèmes par exemple. Lorsque vous cliquez sur l'icône représentant un engrenage
les fonctionnalités pour lesquelles les journaux de diagnostic doivent être collectés.
, vous pouvez configurer
Vous pouvez choisir la durée de l'activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu’au
redémarrage suivant du serveur ou de manière permanente). Une fois la journalisation des données de diagnostic
activée, ESET Mail Security collecte des journaux détaillés selon les fonctionnalités activées.
69
Importer et exporter les paramètres
La fonctionnalité Importer/Exporter les paramètres s'avère utile si vous devez sauvegarder la configuration
actuelle d'ESET Mail Security. Vous pouvez également utiliser la fonctionnalité d'importation pour
distribuer/appliquer les mêmes paramètres à d'autre(s) serveur(s) avec ESET Mail Security. Les paramètres sont
exportés dans un fichier .xml.
70
Si vous ne disposez pas de suffisamment de droits pour écrire le fichier exporté dans le répertoire spécifié,
vous pouvez rencontrer une erreur lors de l'exportation des paramètres.
Outils
Les fonctionnalités suivantes sont disponibles pour l'administration d'ESET Mail Security :
• Processus en cours
• Statistiques de protection
• ESET Shell
• ESET LiveGuard Advanced
• ESET SysInspector
• Planificateur
• Soumettre un échantillon pour analyse
• Quarantaine
71
Processus en cours
Les processus en cours affichent les programmes ou processus en cours d'exécution sur votre ordinateur et
informe ESET immédiatement et en permanence de l'existence de nouvelles infiltrations. ESET Mail Security
fournit des informations détaillées sur l'exécution des processus afin de protéger les utilisateurs à l'aide de la
technologie ESET LiveGrid®.
72
Les applications connues marquées Meilleure réputation (vert) sont saines (répertoriées dans la liste
blanche) et sont exclues de l'analyse, ce qui améliore la vitesse de l'analyse de l'ordinateur à la demande ou
de la protection en temps réel du système de fichiers sur votre ordinateur.
Réputation
Dans la majorité des cas, ESET Mail Security et la technologie ESET LiveGrid® déterminent la réputation des objets sur la base d'une série de règles heuristiques qui
examinent les caractéristiques de chaque objet (fichiers, processus, clés de registre, etc.), puis qui évaluent le potentiel d'activité malveillante. Cette analyse
heuristique attribue aux objets un niveau de réputation allant de 9 - meilleure réputation (vert) à 0 - plus mauvaise réputation (rouge).
Processus
Nom de l'image du programme ou du processus en cours d'exécution sur l'ordinateur. Vous pouvez également utiliser le Gestionnaire de tâches pour afficher tous les
processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire de tâches en cliquant avec le bouton droit de la souris sur une zone vide de la
barre des tâches, puis en cliquant sur Gestionnaire de tâches ou en appuyant sur les touches Ctrl+Maj+Échap du clavier.
PID
ID des processus en cours d'exécution dans les systèmes d'exploitation Windows.
Nombre d'utilisateurs
Nombre d'utilisateurs utilisant une application donnée. Ces informations sont collectées par la technologie ESET LiveGrid®.
Heure de la détection
Durée écoulée depuis la détection de l'application par la technologie ESET LiveGrid®.
Nom de l'application
Nom attribué à un programme auquel appartient ce processus.
Une application n'est pas nécessairement un logiciel malveillant lorsqu'elle est marquée Inconnu(e)
(orange). Il s'agit généralement d'une nouvelle application. Vous pouvez soumettre un échantillon pour
analyse au laboratoire ESET si ce fichier vous semble suspect. Si le fichier s'avère être une application
malveillante, sa détection sera ajoutée à l'une des prochaines mises à jour du moteur de détection.
Afficher les détails
Les informations suivantes apparaissent dans la partie inférieure de la fenêtre :
• Chemin - Emplacement de l'application sur l'ordinateur.
• Taille - Taille du fichier en Ko (kilo-octets) ou Mo (méga-octets).
• Description - Caractéristiques du fichier basées sur sa description du système d'exploitation.
• Réseaux Sociaux - Nom du fournisseur ou du processus de l'application.
• Version - Informations fournies par l'éditeur de l'application.
73
• Produit - Nom de l'application et/ou nom de l'entreprise.
• Date de création - Date et heure de création d'une application.
• Date de modification - Date et heure de dernière modification d'une application.
Ajouter aux exclusions des processus
Cliquez avec le bouton droit sur un processus dans la fenêtre Processus en cours pour l'exclure de l'analyse. Son
chemin sera ajouté à la liste des exclusions des processus.
Statistiques de protection
Pour afficher un graphique des données statistiques relatives aux modules de protection de ESET Mail Security,
sélectionnez le module de protection applicable dans le menu déroulant. Les statistiques comprennent des
informations telles que le nombre total d'objets analysés, le nombre d'objets infectés, le nombre d'objets
nettoyés et le nombre d'objets non infectés.
Placez le pointeur de la souris sur un objet en regard du graphique pour afficher uniquement les données
correspondant à cet objet dans le graphique. Pour effacer les informations de statistique pour le module de
protection actuel, cliquez sur Réinitialiser. Pour effacer les données de tous les modules, cliquez sur Réinitialiser
tout.
Les graphiques statistiques suivants sont disponibles dans ESET Mail Security :
Antivirus et antispyware
74
Affiche le nombre d'objets infectés et nettoyés.
Protection du système de fichiers
Affiche les objets lus ou écrits dans le système de fichiers.
Protection Hyper-V
Affiche le nombre d'objets infectés, nettoyés et non infectés (sur les systèmes dotés d'Hyper-V uniquement).
Protection du client de messagerie
Affiche les objets envoyés ou reçus par les clients de messagerie.
Protection de l'accès Web et anti-hameçonnage
Affiche uniquement les objets téléchargés par des navigateurs Web.
Protection du serveur de messagerie
Affiche les statistiques du serveur de messagerie anti-logiciels malveillants.
Protection antispam du serveur de messagerie
Affiche l'historique des statistiques antispam. Le nombre Non analysé fait référence aux objets qui ont été exclus
de l'analyse (selon les règles, les messages internes, les connexions authentifiées, etc.).
Protection par mise en liste grise du serveur de messagerie
Inclut les statistiques de blocage du courrier indésirable générées par la méthode de liste grise.
Activité de la protection du transport des messages
Affiche les objets vérifiés/bloqués/supprimés par le serveur de messagerie.
Performances de la protection du transport des messages
Affiche les données traitées par VSAPI/l'agent de transport en o/s.
Activité de la protection de la base de données de boîtes aux lettres
Affiche les objets traités par VSAPI (nombre d'objets vérifiés, mis en quarantaine et supprimés).
Performances de la protection de la base de données de boîtes aux lettres
Affiche les données traitées par VSAPI (nombre de moyennes différentes pour aujourd'hui, les 7 derniers jours et
moyennes depuis la dernière réinitialisation).
75
ESET Shell
eShell (abréviation d'ESET Shell) est une interface à ligne de commande pour ESET Mail Security. eShell S'utilise en
remplacement de l'interface utilisateur graphique et dispose de toutes les fonctionnalités et options proposées
normalement par cette interface. eShell vous permet de configurer et d'administrer l'intégralité du programme
sans avoir à utiliser l'interface utilisateur graphique.
Outre les fonctions et fonctionnalités disponible dans l'interface graphique, l'interface à ligne de commande vous
permet d'automatiser l'exécution de scripts afin de configurer et de modifier la configuration, ou encore
d'effectuer une opération. eShell est également utile pour les utilisateurs qui préfèrent les lignes de commande
aux interfaces graphiques.
Pour bénéficier de toutes les fonctionnalités, ouvrez eShell en utilisant Exécuter en tant qu'administrateur.
Il en va de même pour l'exécution d'une seule commande de l'invite de commande (cmd) de Windows.
Ouvrez l'invite de commande en utilisant Exécuter en tant qu'administrateur. Si vous n'exécutez pas
l'invite de commande en tant qu'administrateur, vous ne pourrez pas exécuter des commandes en raison
d'un manque d'autorisations.
Le système eShell peut être exécuté de deux manières :
1. Mode interactif : ce mode est utile lorsque vous souhaitez utiliser régulièrement eShell (pas simplement
exécuter une seule commande), par exemple lorsque vous modifiez la configuration, affichez des journaux,
etc. Vous pouvez utiliser le mode interactif si vous ne connaissez pas encore toutes les commandes. Le mode
interactif simplifie la navigation dans eShell. Il affiche également les commandes que vous pouvez utilisez dans
un contexte défini.
2. Commande unique/mode de traitement par lots : vous pouvez utiliser ce mode si vous avez uniquement
besoin d'exécuter une commande sans passer au mode interactif de eShell. Pour ce faire, saisissez eshell
avec les paramètres appropriés dans l'invite de commande Windows.
eshell get status or eshell computer set real-time status disabled 1h
Pour pouvoir exécuter certaines commandes (comme celles du deuxième exemple ci-dessus) en mode de
traitement par lots/script, vous devez configurer au préalable certains paramètres. Sinon, un message Accès
refusé s'affiche. S'affiche pour des raisons de sécurité.
Il est nécessaire de modifier les paramètres pour que les commandes eShell puissent être utilisées dans
une invite de commande Windows. En savoir plus sur l'exécution des fichiers de commandes.
Vous pouvez entrer en mode interactif de deux manières différentes dans eShell :
1. Par l'intermédiaire du menu Démarrer de Windows : Démarrer > Tous les programmes > ESET > ESET Mail
Security > ESET Shell
2. Dans une invite de commande Windows, saisissez eshell, puis appuyez sur la touche Entrée.
76
Si l'erreur 'eshell' not recognized as an internal or external command s'affiche, c'est en
raison du non chargement de nouvelles variables d'environnement par votre système après l'installation de
ESET Mail Security.
Ouvrez une nouvelle invite de commandes et réessayez de démarrer eShell. Si une erreur s'affiche toujours
ou si vous avez une installation minimale de ESET Mail Security, démarrez eShell à l'aide d'un chemin
absolu, par exemple "%PROGRAMFILES%\ESET\ESET Mail Security\eShell.exe" (vous devez
utiliser des "" pour que la commande fonctionne).
Lorsque vous exécutez eShell en mode interactif pour la première fois, l'écran de première exécution (guide)
s'affiche.
Si vous souhaitez afficher ultérieurement cet écran de première exécution, tapez la commande guide. Il
présente des exemples de base concernant l'utilisation d'eShell avec une syntaxe, un préfixe, un chemin
d'accès à une commande, des formes abrégées, des alias, etc.
À la prochaine exécution d'eShell, cet écran s'affiche :
Les commandes ne font pas la distinction entre les majuscules et les minuscules : Que vous saisissiez les
noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell. Vous pouvez configurer des alias, des couleurs,
un langage, une stratégie d'exécution pour les scripts, des paramètres pour les commandes masquées, etc.
Utilisation
Syntaxe
Pour qu'elles fonctionnent correctement, les commandes doivent avec une syntaxe correcte. Elles peuvent être
composées d'un préfixe, d'un contexte, d'arguments, d'options, etc. Voici la syntaxe générale utilisée dans eShell :
77
[<prefix>] [<command path>] <command> [<arguments>]
Exemple (cette commande active la protection des documents) :
SET COMPUTER SCANS DOCUMENT REGISTER ENABLED
SET : préfixe
COMPUTER SCANS DOCUMENT - chemin vers une commande particulière, contexte auquel la commande
appartient
REGISTER : commande proprement dite
ENABLED : argument de la commande
L'utilisation de la valeur ? en tant qu'argument pour une commande affiche la syntaxe de cette commande. Par
exemple, STATUS ?affiche la syntaxe de la commande STATUS :
SYNTAXE :
[get] status
OPÉRATIONS :
get : Afficher l'état de tous les modules de protection
Vous pouvez constater que [get] est entre crochets. Cela indique que le préfixe getget est l'option par défaut
de la commande status. En d'autres termes, lorsque vous exécutez la commande status sans indiquer de
préfixe, la commande utilise le préfixe par défaut (dans ce casget status). Vous gagnerez du temps en
n'indiquant pas de préfixe. La valeur get est généralement le préfixe par défaut pour la plupart des commandes,
mais vous devez effectuer cette vérification pour chaque commande et vous assurer qu'il correspond bien à
l'instruction que vous souhaitez exécuter.
Les commandes ne font pas la distinction entre les majuscules et les minuscules : Que vous saisissiez les
noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Préfixe/Opération
Un préfixe est une opération. Le préfixe GET fournit des informations sur la configuration d'une fonctionnalité de
ESET Mail Security ou indique l'état (GET COMPUTER REAL-TIME STATUS affiche l'état de la protection en
cours du module en temps réel). La commande SET (préfixe) configure la fonctionnalité ou change son état (SET
COMPUTER REAL-TIME STATUS ENABLED active la protection en temps réel).
Ce sont les préfixes que eShell permet d'utiliser. Les commandes peuvent prendre en charge ou ne pas prendre
en charge les préfixes :
GET
renvoie le parametre/l'état actuel
SET
définit la valeur/l'état
SELECT
sélectionne un élément
ADD
ajoute un élément
REMOVE
supprime un élément
CLEAR
supprime tous les éléments/fichiers
START
démarre une action
78
GET
renvoie le parametre/l'état actuel
STOP
arrête une action
PAUSE
interrompt une action
RESUME
reprend une action
RESTORE
restaure les parametres/l'objet/le fichier par défaut
SEND
envoie un objet/fichier
IMPORT
importe d'un fichier
EXPORT
exporte dans un fichier
Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes (certaines commandes telles
que EXIT n'utilisent pas de préfixe).
Chemin/Contexte de la commande
Les commandes sont placées dans des contextes qui constituent une arborescence. Le niveau supérieur de
l'arborescence est la racine. Lorsque vous exécutez eShell, vous vous trouvez au niveau racine :
eShell>
Vous pouvez exécuter la commande depuis cet emplacement ou saisir le nom du contexte dans l'arborescence
pour y accéder. Par exemple, lorsque vous saisissez le contexte TOOLS, toutes les commandes et sous-contextes
disponibles sont répertoriés.
Les éléments en jaune correspondent aux commandes que vous pouvez exécuter et les éléments en gris sont des
sous-contextes que vous pouvez saisir. Un sous-contexte contient des commandes supplémentaires.
Si vous devez remonter d'un niveau, utilisez .. (deux points).
Par exemple, imaginons que vous vous trouvez à ce niveau :
eShell computer real-time>
saisissez .. pour remonter d'un niveau à :
eShell computer>
79
Si vous souhaitez retourner au niveau racine depuis eShell computer real-time> (soit deux niveaux en
dessous de la racine), tapez simplement .. .. (deux points et deux points séparés par un espace). Vous
remontez alors de deux niveaux, ce qui correspond dans ce cas à la racine. Utilisez une barre oblique inverse \
pour retourner directement au niveau racine, quel que soit le niveau auquel vous vous trouvez dans
l'arborescence. Si vous souhaitez atteindre un contexte spécifique dans des niveaux supérieurs, utilisez le nombre
adéquat de .. pour accéder au niveau souhaité en employant un espace comme séparateur. Si vous souhaitez
par exemple remonter de trois niveaux, utilisez .. .. ..
Le chemin est relatif au contexte en cours. Si la commande est contenue dans le contexte en cours, n'indiquez pas
de chemin. Par exemple, pour exécuter GET COMPUTER REAL-TIME STATUS, saisissez :
GET COMPUTER STATUS : si vous êtes dans le contexte racine (la ligne de commande indique eShell>)
GET STATUS : si vous êtes dans le contexte COMPUTER (la ligne de commande indique eShell computer>)
.. GET STATUS : si vous êtes dans le contexte COMPUTER REAL-TIME (la ligne de commande indique eShell
computer real-time>)
Vous pouvez utiliser un point . au lieu de deux .., car un point est l'abréviation de deux points.
. GET STATUS : si vous êtes dans le contexte COMPUTER REAL-TIME (la ligne de commande indique
eShell computer real-time>
Argument
Un argument est une action effectuée pour une commande spécifique. Par exemple, la commande CLEAN-LEVEL
(située dans COMPUTER REAL-TIME ENGINE) peut être utilisée avec les arguments suivants :
rigorous : Toujours résoudre la détection
safe : Résoudre la détection si cette opération est sûre, sinon conserver
normal : Résoudre la détection si cette opération est sûre, sinon demander
none : Toujours demander à l'utilisateur final
Les arguments ENABLED ou DISABLED permettent d'activer ou de désactiver une fonctionnalité.
Forme abrégée/Commandes raccourcies
eShell vous permet de raccourcir les contextes, les commandes et les arguments (à condition que l'argument soit
un paramètre ou une autre option). Il n'est pas possible de raccourcir un préfixe ou un argument s'il s'agit d'une
valeur concrète telle qu'un nombre, un nom ou un chemin. Vous pouvez utiliser les chiffres1 et 0 au lieu des
arguments enabled et disabled.
computer set real-time status enabled
computer set real-time status disabled
=>
=>
com set real stat 1
com set real stat 0
Voici des exemples de forme raccourcie :
computer set real-time status enabled
=>
com set real stat en
computer exclusions add detection-excludes object C:\path\file.ext
=>
com excl add det obj C:\path\file.ext
computer exclusions remove detection-excludes 1
=>
com excl rem det 1
Si deux commandes ou contextes commencent par la même lettre, ADVANCED et AUTO-EXCLUSIONS, et que
80
vous saisissez la commande raccourcie A, eShell ne parvient pas à déterminer laquelle de ces deux commandes
vous souhaitez exécuter. Un message d'erreur s'affiche et répertorie les commandes commençant par un « A »
pour que vous puissiez sélectionner celle à exécuter :
eShell>a
La commande suivante n'est pas unique : a
Les sous-contextes suivants sont disponibles dans le contexte COMPUTER :
ADVANCED
AUTO-EXCLUSIONS
En ajoutant une ou plusieurs lettres (AD au lieu de A), eShell entre le sous-contexte ADVANCED car il est unique.
Cela s'applique aussi aux commandes abrégées.
afin d'avoir la garantie qu'une commande s'exécute comme vous le souhaitez, il est recommandé de ne pas
abréger les commandes, les arguments, etc. et d'utiliser plutôt la forme complète. eShell exécute alors
exactement ce que vous souhaitez et vous évite de commettre des erreurs. Ce conseil s'applique
notamment pour les fichiers de commandes et les scripts.
Saisie semi-automatique
Cette nouvelle fonctionnalité introduite avec eShell 2.0 ressemble beaucoup à la fonctionnalité de saisie semiautomatique de l'invite de commande Windows. Alors que l'invite de commande Windows effectue une saisie
semi-automatique des chemins d'accès aux fichiers, eShell effectue également une saisie semi-automatique des
noms de commande, de contexte et d'opération. La saisie semi-automatique des arguments n'est pas prise en
charge.
Lorsque vous tapez une commande, appuyez sur Tab pour terminer la saisie ou parcourir les variantes
disponibles.
Appuyez sur Maj+Tab pour parcourir les variantes dans le sens inverse. Le mélange d'une forme abrégée et de la
saisie semi-automatique n'est pas pris en charge. Utilisez une de ces deux options.
Par exemple, lorsque vous saisissez computer real-time additional, la frappe de la touche Tab ne donne
aucun résultat. Saisissez plutôt com et appuyez sur la touche Tab pour saisir automatiquement computer, tapez
ensuite real + Tab et add + Tab et appuyez sur Entrée. Tapez on + Tab et continuez à appuyer sur Tab pour
parcourir toutes les variantes disponibles : on-execute-ah, on-execute-ah-removable, on-write-ah,
on-write-archive-default, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à condition que la commande
dispose d'un alias). Voici quelques alias par défaut :
(global) close : quitter
(global) quit : quitter
(global) bye : quitter
warnlog : tools log events
81
virlog - tools log detections
(global) signifie que la commande peut être utilisée dans tous les emplacements, quel que soit le contexte
actuel. Plusieurs alias peuvent être attribués à une même commande. Par exemple, la commande EXIT possède
les alias CLOSE, QUIT et BYE. Si vous souhaitez quitter eShell, vous pouvez utiliser la commande EXIT
proprement dite ou l'un de ses alias.
L'alias VIRLOG est attribué à la commande DETECTIONS qui se trouve dans le contexte TOOLS LOG. Les
détections de commande sont ainsi disponibles depuis le contexte ROOT, ce qui facilite l'accès (vous n'avez plus à
saisir TOOLS puis le contexte LOG et l'exécuter directement depuis ROOT).
eShell permet de définir vos alias. La commande ALIAS est accessible dans le contexte UI ESHELL.
Paramètres protégés par mot de passe
Les paramètres de ESET Mail Security peuvent être protégés par mot de passe. Vous pouvez définir un mot de
passe à l'aide de l'interface graphique utilisateur ou d'eShell à l'aide de la commande set ui access lockpassword.
Vous devez ensuite saisir ce mot de passe de manière interactive pour certaines commandes (comme celles qui
permettent de modifier des paramètres ou des données). Si vous envisagez d'utiliser eShell pendant une longue
période et si vous ne souhaitez pas saisir le mot de passe de manière répétée, vous pouvez faire en sorte
qu'eShell mémorise le mot de passe à l'aide de la commande set password (exécution depuis root). Votre mot
de passe est alors automatiquement saisi pour chaque commande exécutée qui le demande. Le mot de passe est
mémorisé jusqu'à ce que vous quittiez eShell. Vous devez donc réutiliser la commande set password lorsque
vous démarrez une nouvelle session et que vous souhaitez qu'eShell mémorise le mot de passe.
Guide / Aide
Lorsque vous exécutez la commande GUIDE ou HELP, l'écran de première exécution apparaît et vous explique
comment utiliser eShell. Cette commande est disponible uniquement dans le contexte ROOT (eShell>).
Historique de commande
eShell conserve un historique des commandes exécutées. Cet historique s'applique uniquement à la session
interactive eShell en cours. Lorsque vous quittez eShell, l'historique des commandes est supprimé. Utilisez les
touches de direction Haut et Bas de votre clavier pour naviguer dans l’historique. Lorsque vous avez localisé la
commande que vous recherchiez, vous pouvez la réexécuter ou la modifier sans avoir à saisir l'intégralité de la
commande depuis le début.
CLS/Effacement de l'écran
La commande CLS peut être utilisée pour effacer le contenu de l'écran. Cette commande fonctionne de la même
manière que l'invite de commande Windows ou que toute autre interface à ligne de commande.
EXIT/CLOSE/QUIT/BYE
Pour fermer ou quitter eShell, vous pouvez utiliser l'une de ces commandes (EXIT, CLOSE, QUIT ou BYE).
82
Commandes
Cette section répertorie quelques commandes eShell de base, ainsi que des descriptions.
Les commandes ne font pas la distinction entre les majuscules et les minuscules : Que vous saisissiez les
noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Exemples de commandes (contenues dans le contexte ROOT) :
ABOUT
Répertorie les informations sur le programme. Cette commande permet d'afficher les informations suivantes :
• Nom du produit de sécurité ESET installé et numéro de version
• Système d'exploitation et informations de base sur le matériel
• Nom d'utilisateur (domaine compris), nom complet de l'ordinateur (FQDN si le serveur appartient à un
domaine) et nom du siège
• Composants du produit de sécurité ESET installés et numéro de version de chaque composant
CHEMIN DE CONTEXTE :
root
MOT DE PASSE
Normalement, lorsque vous exécutez des commandes protégées par mot de passe, vous êtes invité à taper un
mot de passe pour des raisons de sécurité. Il concerne les commandes qui désactivent la protection et qui
peuvent avoir une incidence sur la configuration du produit ESET Mail Security. Vous êtes invité à saisir un mot de
passe chaque fois que vous exécutez une commande de ce type. Afin d'éviter d'avoir à saisir un mot de passe à
chaque fois, vous pouvez définir ce mot de passe. Il sera mémorisé par eShell et saisi automatiquement à chaque
exécution d'une commande protégée par un mot de passe.
Le mot de passe ne fonctionne que pour la session interactive eShell en cours. Lorsque vous quittez eShell,
ce mot de passe défini est supprimé. Lorsque vous redémarrez eShell, le mot de passe doit être redéfini.
Le mot de passe défini peut être également utilisé lors de l'exécution de fichiers de commandes/scripts non
signés. Veillez à définir la politique d'exécution du ESET Shell sur Accès complet lors de l'exécution de fichiers de
commandes non signés. Voici un exemple de fichier de traitement par lots :
eshell set password plain <yourpassword> "&" computer set real-time status disabled
La commande concaténée ci-dessus définit un mot de passe et désactive la protection.
Il est recommandé d'utiliser des fichiers de commandes signés lorsque cela est possible. Vous évitez ainsi
que les mots de passe apparaissent en texte brut dans le fichier de commandes (en cas d'utilisation de la
méthode décrite ci-dessus). Pour plus d'informations, voir Fichiers de commandes/scripts (section Fichiers
de commandes signés).
83
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore password
set password [plain <password>]
OPÉRATIONS :
get : Affiche le mot de passe
set- Définit ou efface le mot de passe
restore : Efface le mot de passe
ARGUMENTS :
plain : Permet d'entrer le mot de passe en tant que paramètre.
password : Mot de passe
set password plain <yourpassword> : Définit un mot de passe qui sera utilisé pour les commandes
protégées par mot de passe.
restore password : Efface le mot de passe
get password : Utilisez cette commande pour définir si le mot de passe est configuré (le mot de passe
n'apparaît pas clairement ; il est remplacé par une série d'astérisques "*"). Si vous ne voyez aucun
astérisque, cela signifie qu'aucun mot de passe n'est défini.
set password plain <yourpassword> : Utilisez cette commande pour configurer le mot de passe
défini
restore password : Cette commande efface le mot de passe défini.
STATUS
Affiche des informations sur l'état en cours de la protection en temps réel d'ESET Mail Security et permet
également d'interrompre et de reprendre la protection (identique à la fenêtre principale du programme).
CHEMIN DE CONTEXTE :
computer real-time
SYNTAXE :
[get] status
set status enabled | disabled
[ 10m | 30m | 1h | 4h | temporary ]
restore status
OPÉRATIONS :
get : renvoie le paramètre/l'état en cours
84
set : définit la valeur/l'état
restore : restaure les paramètres/l'objet/le fichier par défaut
ARGUMENTS :
enabled : Activer la protection/fonctionnalité
disabled : Désactiver la protection/fonctionnalité
10m : Désactiver pendant 10 minutes
30m : Désactiver pendant 30 minutes
1h : Désactiver pendant 1 heure
4h : Désactiver pendant 4 heures
temporary : Désactiver jusqu'au redémarrage
Vous ne pouvez pas désactiver toutes les fonctionnalités de protection à l’aide d’une seule commande.
Vous pouvez gérer les fonctionnalités de protection et les modules un par un à l’aide de la commande
status. Chaque fonctionnalité de protection ou module possède sa commande status.
Liste des fonctionnalités avec la commande status :
Fonctionnalité
Contexte et commande
Exclusions automatiques
COMPUTER AUTO-EXCLUSIONS STATUS
Système HIPS (Host Intrusion Prevention
System)
COMPUTER HIPS STATUS
Protection en temps réel du système de fichiers COMPUTER REAL-TIME STATUS
Contrôle de périphérique
DEVICE STATUS
Protection Anti-Botnet
NETWORK ADVANCED STATUS-BOTNET
Protection contre les attaques réseau (IDS)
NETWORK ADVANCED STATUS-IDS
Isolement réseau
NETWORK ADVANCED STATUS-ISOLATION
ESET Cluster
TOOLS CLUSTER STATUS
Journalisation des données de diagnostic
TOOLS DIAGNOSTICS STATUS
Mode de présentation
TOOLS PRESENTATION STATUS
Protection anti-hameçonnage
WEB-AND-EMAIL ANTIPHISHING STATUS
Protection du client de messagerie
WEB-AND-EMAIL MAIL-CLIENT STATUS
Protection de l’accès Web
WEB-AND-EMAIL WEB-ACCESS STATUS
VIRLOG
Cette commande est un alias de la commande DETECTIONS. Elle est utile lorsque vous devez afficher des
informations sur les infiltrations détectées.
WARNLOG
Cette commande est un alias de la commande EVENTS. Elle est utile lorsque vous devez afficher des informations
sur différents événements.
85
Raccourcis clavier
eShell prend en charge les raccourcis clavier (similaires à l'invite de commande cmd.exe de Microsoft Windows).
Utilisez certaines touches (combinaisons de touches) de votre clavier pour effectuer des actions dans eShell. Ces
actions peuvent être par exemple les suivantes : afficher l'historique des commandes, répéter une partie de la
commande d'historique, déplacer un mot ou effacer une ligne.
Raccourcis disponibles :
F1 : permet d'imprimer les caractères de la commande d'historique actuelle un par un.
F2, X : permet de réitérer une partie de la commande d'historique ; jusqu'au caractère X.
F3 : permet d'écrire la commande d'historique en cours.
F4, X : à partir de la position actuelle du curseur sur la commande en cours ; effacer jusqu'au caractère X.
F5 : identique à la touche de direction HAUT.
F7 : permet d'afficher l'historique des commandes.
ALT + F7 : permet d'effacer l'historique des commandes.
F8 : permet de revenir en arrière dans l'historique des commandes, mais n'affiche à l'invite de commande que les
commandes correspondant au texte actuel.
F9 : permet d'exécuter une commande spécifique à partir de l'historique des commandes.
DROITE : identique à F1.
CTRL + ORIGINE : permet d'effacer la ligne à gauche.
CTRL + FIN : permet d'effacer la ligne à droite.
CTRL + GAUCHE : permet de déplacer un mot vers la gauche.
CTRL + DROITE : permet de déplacer un mot vers la droite.
Fichiers de commandes/scripts
Vous pouvez utiliser eShell comme outil de création de scripts puissant pour l'automatisation. Pour utiliser un
fichier de commandes dans eShell, créez-en un comportant un eShell et une commande.
eshell get computer real-time status
Vous pouvez également créer une chaîne de commandes, ce qui est parfois nécessaire. Si vous souhaitez par
exemple obtenir le type d'une tâche planifiée spécifique, saisissez la commande suivante :
eshell select scheduler task 4 "&" get scheduler action
La sélection d'un élément (tâche numéro 4 dans le cas présent) ne s'applique généralement qu'à une instance
d'eShell en cours d'exécution. Si vous deviez exécuter ces commandes à la suite, la seconde commande
86
échouerait en affichant l'erreur « "No task selected or selected task no longer exists". »
Pour des raisons de sécurité, la stratégie d'exécution est définie par défaut sur Scripts limités. Vous pouvez ainsi
utiliser eShell comme outil de surveillance (dans ce cas, vous ne pouvez pas apporter de modifications à la
configuration de ESET Mail Security en exécutant un script). Si vous essayez d'exécuter un script avec des
commandes qui ont un impact sur la sécurité, comme la désactivation de la protection, le message Accès refusé
s'affiche. Il est recommandé d'utiliser des fichiers de commandes signés pour exécuter des commandes qui
apportent des modifications de configuration.
Pour modifier la configuration à l'aide d'une commande saisie manuellement dans l'invite de commande, vous
devez accorder un accès total à eShell (non recommandé). Pour accorder un accès total, utilisez la commande ui
eshell shell-execution-policy en mode interactif d'eShell ou via l'interface utilisateur graphique dans
Configuration avancée (F5)> Interface utilisateur > ESET Shell.
Fichiers de commandes signés
eShell vous permet de protéger les fichiers de commandes courants (*.bat) à l'aide d'une signature. Les scripts
sont signés à l'aide du mot de passe utilisé pour la protection des paramètres. Pour signer un script, vous devez
activer au préalable la protection des paramètres. Vous pouvez le faire dans la fenêtre principale du programme
ou dans eShell à l'aide de la commande set ui access lock-password. Une fois que le mot de passe de
protection des paramètres est configuré, vous pouvez commencer à signer les fichiers de commandes.
Vous devez signer à nouveau tous les scripts si vous modifiez votre mot de passe de protection des
paramètres. Dans le cas contraire, les scripts ne s'exécuteront pas suite au changement de mot de passe.
Car le mot de passe saisi lors de la signature d'un script doit correspondre au mot de passe de protection
des paramètres sur le système cible.
Pour signer un fichier de commandes, exécutez sign <script.bat> à partir du contexte racine d'eShell, où
script.bat correspond au chemin d'accès au script à signer. Saisissez le mot de passe qui sera utilisé pour la
signature, puis confirmez-le. Ce mot de passe doit correspondre au mot de passe de protection des paramètres.
Une signature est placée dans la partie inférieure du fichier de commandes sous forme de commentaire. Si le
script a déjà été signé, sa signature est remplacée par la nouvelle.
Lorsque vous modifiez un fichier de commandes signé, vous devez le resigner.
Pour exécuter un fichier de commandes signé à partir de l'invite de commande Windows ou en tant que tâche
planifiée, utilisez la commande suivante :
eshell run <script.bat>
script.bat correspond au chemin d'accès au fichier de commandes.
eshell run d:\myeshellscript.bat
ESET LiveGuard Advanced
ESET LiveGuard Advanced offre une autre couche de sécurité en utilisant la technologie ESET Cloud avancée pour
détecter les menaces nouvelles. Il s'agit d'un service payant. Bien qu'il soit similaire à ESET LiveGrid®, ESET
LiveGuard Advanced permet d'être protégé contre les conséquences possibles liées aux nouvelles menaces. Si
ESET LiveGuard Advanced détecte du code ou un comportement suspect, il empêche toute activité de la menace
en la plaçant temporairement dans la quarantaine ESET LiveGuard Advanced.
87
Un échantillon suspect (fichier ou e-mail) est automatiquement soumis au cloud ESET, où le serveur ESET
LiveGuard Advanced l'analyse à l'aide des moteurs de détection de logiciels malveillants sophistiqués. Pendant
que les fichiers ou les e-mails sont dans la quarantaine ESET LiveGuard Advanced, ESET Mail Security attend les
résultats du serveur ESET LiveGuard Advanced.
Une fois l'analyse terminée, ESET Mail Security reçoit un rapport comportant un résumé du comportement de
l'échantillon observé. Si l'échantillon s'avère inoffensif, il est libéré de la quarantaine ESET LiveGuard Advanced,
sinon il y reste. S'il s'agit d'un faux positif et que vous êtes sûr que le fichier ou l'e-mail ne constitue pas une
menace, vous pouvez le libérer manuellement de la quarantaine ESET LiveGuard Advanced avant que ESET Mail
Security reçoive les résultats du serveur ESET LiveGuard Advanced.
Les résultats ESET LiveGuard Advanced pour les échantillons sont généralement donnés en quelques minutes
pour les e-mails. Toutefois, l'intervalle d'attente par défaut est défini sur 5 minutes. Dans de rares cas, lorsque les
résultats ESET LiveGuard Advanced ne sont pas donnés dans l'intervalle, le message est libéré. Vous pouvez
changer l'intervalle selon vos préférences (entre 5 et 60 minutes, par incréments de 1 minute).
La fonctionnalité ESET LiveGuard Advanced est visible dans ESET Mail Security, quel que soit son état d'activation.
Si vous ne possédez pas de licence, ESET LiveGuard Advanced est inactif. La licence ESET LiveGuard Advanced est
gérée par ESET PROTECT et l'activation doit être effectuée dans ESET PROTECT à l'aide d'une politique.
Une fois ESET LiveGuard Advanced activé, votre profil ESET LiveGuard Advanced est créé sur le serveur ESET
LiveGuard Advanced. Ce profil stocke tous les résultats d'analyse ESET LiveGuard Advanced pour les échantillons
envoyés par ESET Mail Security.
Pour que la fonction ESET LiveGuard Advanced soit opérationnelle, les critères suivants doivent être respectés :
ESET Mail Security gérés via ESET PROTECT
88
ESET Mail Security est activé à l'aide d'une licence ESET LiveGuard Advanced
Activez ESET LiveGuard Advanced dans ESET Mail Security à l'aide d'une politique ESET PROTECT
Vous pouvez alors tirer parti de ESET LiveGuard Advanced et envoyer manuellement un échantillon pour qu'il soit
analysé par ESET LiveGuard Advanced.
ESET SysInspector
ESET SysInspector est une application qui inspecte méticuleusement votre ordinateur, réunit des informations
détaillées sur les composants système, tels que pilotes et applications installés, connexions réseau ou entrées de
registre importantes, puis évalue le niveau de risque de chaque composant.
Ces informations peuvent aider à déterminer la cause d'un comportement suspect du système pouvant être dû à
une incompatibilité logicielle ou matérielle, ou à une infection par un logiciel malveillant.
Cliquez sur Créer et entrez un bref commentaire décrivant le journal à créer. Patientez jusqu'à ce que le journal
ESET SysInspector soit généré (l'état indique Créé). Selon la configuration matérielle et les données système, la
création du journal peut prendre un certain temps.
La fenêtre ESET SysInspector affiche les informations suivantes relatives aux journaux créés :
• Heure - Heure de création du journal.
• Commentaire - Bref commentaire.
• Utilisateur - Nom de l'utilisateur qui a créé le journal.
• État - État de création du journal.
Les actions disponibles sont les suivantes :
• Afficher - Ouvre le journal créé. Vous pouvez également cliquer avec le bouton droit sur un journal, puis
sélectionner Afficher dans le menu contextuel.
• Créer - Crée un journal. Saisissez un bref commentaire décrivant le journal à créer et cliquez sur Créer.
Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État indique Créé).
• Supprimer - Supprime les journaux sélectionnés de la liste.
En cliquant avec le bouton droit de la souris sur un ou plusieurs journaux sélectionnés, vous ouvrez un menu
contextuel qui donne accès aux options suivantes :
• Afficher - Ouvre le journal sélectionné dans ESET SysInspector (équivaut à double-cliquer sur un journal).
• Créer - Crée un journal. Saisissez un bref commentaire décrivant le journal à créer et cliquez sur Créer.
Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État indique Créé).
• Supprimer - Supprime les journaux sélectionnés de la liste.
• Supprimer tout - Supprime tous les journaux.
89
• Exporter - Exporte le journal vers le fichier .esil. Vous pouvez également choisir un fichier .xml ou un
fichier compressé .xml.
Planificateur
Le Planificateur gère et lance des tâches planifiées en fonction de paramètres définis. Vous pouvez afficher une
liste de toutes les tâches planifiées sous la forme d'un tableau qui contient leurs paramètres (type et nom de la
tâche, heure de lancement et dernière exécution, par exemple). Vous pouvez créer d'autres tâches planifiées en
cliquant sur Ajouter une tâche. Pour modifier la configuration d'une tâche planifiée existante, cliquez sur le
bouton Modifier. Restaurez les paramètres par défaut de la liste des tâches planifiées, cliquez sur Par défaut et
sur Rétablir les paramètres par défaut. Toutes les modifications apportées seront perdues (cette opération ne
peut pas être annulée).
Il existe un ensemble de tâches par défaut prédéfinies :
• Maintenance des journaux
• Mise à jour automatique régulière (utilisez cette tâche pour mettre à jour la fréquence)
• Mise à jour automatique après une connexion d’accès à distance
• Mise à jour automatique après connexion de l’utilisateur
• Vérification des fichiers de démarrage (après l'ouverture de session de l'utilisateur)
• Vérification des fichiers de démarrage (après la réussite de la mise à jour des modules)
Cochez les cases appropriées pour activer ou désactiver les tâches.
90
Pour effectuer les actions suivantes, cliquez avec le bouton droit sur une tâche :
Afficher les détails des
tâches
Affiche des informations détaillées sur une tâche planifiée lorsque vous double-cliquez ou cliquez avec le bouton droit sur celle-ci.
Exécuter maintenant
Exécute une tâche de planificateur sélectionnée et l'effectue immédiatement.
Ajouter...
Lance un assistant qui permet de créer une nouvelle tâche de planificateur.
Modifier...
Permet de modifier la configuration d'une tâche planifiée existante (par défaut et définie par l'utilisateur).
Supprimer
Supprime une tâche existante.
Si des tâches planifiées sont grisées, cela signifie qu'elles sont gérées par ESET PROTECT.
Planificateur - Ajouter une tâche
Pour créer une tâche planifiée :
1. Cliquez sur Ajouter une tâche.
2. Saisissez un nom de tâche et configurez votre tâche planifiée personnalisée.
3. Type de tâche : sélectionnez le type de tâche applicable dans le menu déroulant.
91
Pour désactiver une tâche, cliquez sur la barre du curseur en regard de l'option Activée. Pour activer la
tâche ultérieurement, cochez la case de la vue Planificateur.
4. Exécution de la tâche : sélectionnez l'une des options à définir lorsque vous souhaitez exécuter votre tâche.
Selon votre choix, vous serez invité à choisir une heure, un jour, un intervalle ou un événement spécifique.
92
5. Tâche ignorée : si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le moment
auquel elle doit être exécutée.
6. Exécuter l'application : si la tâche est planifiée pour exécuter une application externe, choisissez un fichier
exécutable dans l'arborescence.
93
7. Si vous devez apporter des modifications, cliquez sur Précédent pour revenir aux étapes précédentes et
modifier les paramètres.
8. Cliquez sur Terminer pour créer la tâche ou appliquer les modifications.
La nouvelle tâche planifiée apparaît dans la vue Planificateur.
Type de tâche
L'assistant de configuration est différent pour chaque type de tâche d'une tâche planifiée. Saisissez le nom de la
tâche, puis sélectionnez le type de tâche de votre choix dans le menu déroulant :
• Exécuter une application externe : permet de planifier l'exécution d'une application externe. Vous pouvez
utiliser un compte spécifique pour exécuter la tâche planifiée en tant que (option Exécuter la tâche sous un
compte spécifique).
• Maintenance des journaux : les fichiers journaux contiennent également des éléments provenant
d'entrées supprimées. Cette tâche optimise régulièrement les entrées des fichiers journaux pour garantir
leur efficacité.
• Contrôle des fichiers de démarrage du système : vérifie les fichiers autorisés à s'exécuter au démarrage
du système ou lors de l'ouverture de session de l'utilisateur.
• Créer un instantané du statut de l'ordinateur : crée un instantané ESET SysInspector de l'ordinateur et
collecte des informations détaillées sur les composants système (pilotes, applications) et évalue le niveau de
risque de chacun de ces composants.
• Analyse de l'ordinateur à la demande : analysez les fichiers et les dossiers stockés localement ou sur un
partage réseau (système de stockage partagé, tel qu'un NAS). Utilisez un compte spécifique pour exécuter la
tâche planifiée en tant que (option Exécuter la tâche sous un compte spécifique).
• Mise à jour : planifie une tâche de mise à jour pour effectuer une mise à jour du moteur de détection et
des modules de l'application.
• Analyse de base de données de boîtes aux lettres : permet de planifier une analyse de base de données
et de choisir les éléments à analyser. C'est une analyse de base de données à la demande.
Si la protection de la base de données de boîtes aux lettres est activée, vous pouvez toujours planifier cette
tâche, mais le message d'erreur Analyse de base de données de boîtes aux lettres - Analyse interrompue en
raison d'une erreur s'affichera dans la section Analyse de l'interface utilisateur graphique principale. Pour
éviter cette erreur, assurez-vous que la protection de la base de données de boîtes aux lettres est
désactivée pendant la période au cours de laquelle l'analyse de base de données de boîtes aux lettres est
planifiée.
• Envoyer les rapports de mise en quarantaine des messages : planifie l'envoi d'un rapport de mise en
quarantaine des messages par courrier électronique.
• Envoyer les rapports administrateur de mise en quarantaine des messages : planifie l'envoi d'un rapport
de mise en quarantaine des messages par courrier électronique.
• Envoyer le rapport sur la protection du serveur de messagerie : planifie un rapport sur la protection du
serveur de messagerie.
94
• Analyse en arrière-plan : permet à Exchange Server d'exécuter une analyse en arrière-plan de base de
données si nécessaire.
• Analyse Hyper-V : permet de planifier une analyse des disques virtuels dans Hyper-V.
• Analyse Office 365 : permet de planifier une analyse des environnements hybrides Office 365.
Pour désactiver une tâche lorsqu'elle a été créée, cliquez sur le commutateur en regard de l'option Activée. Pour
activer la tâche ultérieurement, cochez la case de la vue Planificateur. Cliquez sur Suivant pour passer à l'étape
suivante.
Exécution de tâche
Sélectionnez l'une des fréquences suivantes :
• Une fois : la tâche n'est exécutée qu'une seule fois, à la date et à l'heure spécifiées. Pour exécuter la tâche
une seule fois, à un moment donné. Spécifiez la date et l'heure de début dans Exécution de la tâche.
• Plusieurs fois : la tâche est exécutée aux intervalles indiqués (exprimés en minutes). Indiquez l'heure à
laquelle la tâche sera exécutée tous les jours dans Exécution de la tâche.
• Quotidiennement : la tâche est exécutée tous les jours à l'heure définie.
• Chaque semaine - La tâche est exécutée une ou plusieurs fois par semaine, au(x) jour(s) et à l'heure
indiqués. Pour exécuter la tâche plusieurs fois certains jours de la semaine uniquement en commençant par
le jour et l'heure spécifiés. Indiquez l'heure de début dans l'heure d'exécution de la tâche. Sélectionnez le ou
les jours de la semaine pendant lesquels la tâche doit être exécutée.
• Déclenchée par un événement - La tâche est exécutée après un événement particulier.
Ignorer la tâche en cas d'alimentation par batterie
Lorsque cette option est activée, une tâche ne démarre pas si le système est alimenté par batterie au moment de
l'exécution prévue. Cela s'applique aux systèmes UPS, par exemple.
Exécuter la tâche sous un compte spécifique
Définissez le nom d’utilisateur et le mot de passe d’un compte spécifique pour exécuter la tâche planifiée
Exécuter une application externe ou Analyse de l’ordinateur à la demande. Utilisez-la pour exécuter Analyse de
l’ordinateur à la demande si vous souhaitez analyser un partage réseau, par exemple, un NAS ou un autre
système de stockage partagé.
Vérifiez que le compte utilisateur que vous utilisez pour Exécuter la tâche sous un compte spécifique est
autorisé à Ouvrir une session en tant que tâche (SeBatchLogonRight). Vous pouvez vérifier les Paramètres
de stratégie à l'aide de l'outil Gestion des stratégies de groupe (Paramètres de sécurité > Stratégies locales
> Attribution des droits d'utilisateur > Ouvrir une session en tant que tâche).
95
Déclenchée par un événement
Lors de la planification d'une tâche déclenchée par un événement, vous pouvez indiquer l'intervalle minimum
entre deux exécutions de la tâche.
Un des événements suivants peut déclencher la tâche :
• Chaque fois que l'ordinateur démarre
• Chaque jour au premier démarrage de l'ordinateur
• Connexion commutée à Internet/VPN
• Mise à jour du module réussie
• Mise à jour du produit réussie
• Ouverture de session de l'utilisateur : la tâche est déployée lorsque l'utilisateur ouvre une session sur le
système. Si vous ouvrez une session sur l'ordinateur plusieurs fois par jour, choisissez un intervalle de
24 heures afin de réaliser la tâche uniquement à la première ouverture de session de la journée, puis le
lendemain.
• Détection de menaces
Exécuter l’application
Cette tâche permet de planifier l'exécution d'une application externe.
• Fichier exécutable : choisissez un fichier exécutable dans l'arborescence, cliquez sur Parcourir (...) ou
saisissez le chemin manuellement.
• Dossier de travail - Définissez le répertoire de travail de l'application externe. Tous les fichiers temporaires
du fichier exécutable sélectionné sont créés dans ce répertoire.
• Paramètres - Paramètres de ligne de commande de l'application (facultatif).
Tâche ignorée
Si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le moment auquel elle doit être
exécutée :
• À la prochaine heure planifiée - La tâche est exécutée à l'heure indiquée (après 24 heures, par exemple).
• Dès que possible - La tâche s'exécute dès que possible, c'est-à-dire dès que les actions qui empêchent son
exécution ne sont plus valides.
• Exécuter la tâche immédiatement si le temps écoulé depuis la dernière exécution dépasse l'intervalle
spécifié - Durée écoulée depuis la dernière exécution (heures). Lorsque vous sélectionnez cette option, votre
tâche est toujours répétée après le nombre d'heures indiqué.
96
Rapport sur la protection du serveur de messagerie
Les rapports sur la protection du serveur de messagerie vous informent en vous donnant une vue d'ensemble des
statistiques de protection ESET Mail Security. Les rapports statistiques contiennent des informations sur le
nombre d'e-mails analysés et de logiciels malveillants, de tentatives d'hameçonnage et de courriers indésirables
détectés pour la période spécifiée. Le rapport est généré en fonction de la tâche planifiée et envoyé par e-mail
aux destinataires sélectionnés. Au format HTML ou CSV, il est envoyé comme pièce jointe. La sortie HTML
présente les données sous forme de graphique et montre la moyenne à long terme d'une comparaison. Elle
comprend également des informations sur le trafic pour chaque type de protection et les principaux destinataires
de logiciels malveillants, de tentatives d'hameçonnage et de courriers indésirables.
Utilisez le planificateur pour générer le rapport sur la protection du serveur de messagerie à la date et à l'heure
spécifiées ou de façon récurrente. Les rapports planifiés sont remis aux destinataires d'e-mail sélectionnés qui
recevront les rapports.
Accédez à Outils > Planificateur, cliquez sur Ajouter une tâche et utilisez l'assistant.
Saisissez le nom de la tâche, sélectionnez le type de tâche dans le menu déroulant et choisissez tâche de rapport
sur la protection du serveur de messagerie.
• Nom du rapport : saisissez le nom du rapport.
• Périodes : sélectionnez l'une des options comme période pour la génération du rapport.
• Destinataires : indiquez les utilisateurs qui recevront le rapport sur la protection du serveur de
messagerie. Cliquez sur Modifier pour saisir les boîtes aux lettres de destinataires spécifiques (les boîtes aux
lettres liées sont également prises en charge). Indiquez l’adresse e-mail du destinataire du rapport, puis
appuyez sur Entrée pour confirmer l’opération. Répétez l’opération pour ajouter plusieurs destinataires.
• Adresse de l'expéditeur : indiquez une adresse e-mail à afficher en tant qu'expéditeur du rapport sur la
protection du serveur de messagerie (administrator@mydomain.com, par exemple).
• Langue du rapport : sélectionnez la langue souhaitée dans le menu déroulant. Le rapport est généré dans
la langue sélectionnée.
• Format du rapport : sélectionnez HTML ou CSV comme format de sortie. Les rapports sont collectés selon
les options spécifiées.
• Agréger les statistiques du groupe : créez un rapport avec les données statistiques générées pour tous les
membres du nœud du cluster.
Cliquez sur Terminer.
Aperçu des tâches planifiées
Cette boîte de dialogue affiche des informations détaillées sur une tâche planifiée lorsque vous double-cliquez sur
celle-ci dans la vue Planificateur. Vous pouvez également afficher ces informations en cliquant avec le bouton
droit sur la tâche et en choisissant Afficher les détails des tâches.
97
Soumettre les échantillons pour analyse
La boîte de dialogue de soumission d'échantillons permet d'envoyer un fichier ou un site à ESET pour analyse. Si
vous trouvez sur votre ordinateur un fichier dont le comportement est suspect, soumettez-le au laboratoire de
recherche sur les menaces d'ESET pour analyse. Si le fichier s'avère être une application malveillante, la détection
sera intégrée à une prochaine mise à jour.
Pour soumettre le fichier par e-mail, compressez le ou les fichiers à l'aide de WinRAR ou de WinZip, protégez
l'archive à l'aide du mot de passe infected et envoyez-la à samples@eset.com. Utilisez un objet descriptif et
indiquez le plus d'informations possible sur le fichier (notez par exemple le site Internet à partir duquel vous
l'avez téléchargé).
Avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à l'un ou les deux critères suivants :
• Le fichier ou le site Web n'est pas du tout détecté.
• Le fichier ou le site Web est détecté à tort comme une menace.
• Nous n’acceptons pas les fichiers personnels (que vous souhaitez qu’ESET analyse en vue de rechercher
des logiciels malveillants) comme échantillons (ESET Research Lab n’effectue pas d’analyses à la demande
pour les utilisateurs).
• Utilisez un objet descriptif et indiquez le plus d'informations possible sur le fichier (notez par exemple le
site Internet à partir duquel vous l'avez téléchargé).
Si au moins l'une des exigences ci-dessus n'est pas satisfaite, vous ne recevrez pas de réponse tant que des
informations complémentaires n'auront pas été fournies.
Sélectionnez la description correspondant le mieux à votre message dans le menu déroulant Motif de soumission
de l'échantillon :
• Fichier suspect
• Site suspect (site Web infecté par un logiciel malveillant)
• Fichier faux positif (fichier détecté à tort comme infecté)
• Site faux positif
• Autre
Fichier/Site
Chemin d'accès au fichier ou au site Web que vous souhaitez soumettre.
Adresse de contact
L'adresse de contact est envoyée à ESET avec les fichiers suspects. Elle pourra servir à vous contacter si des
informations complémentaires sont nécessaires à l'analyse. La spécification d'une adresse de contact est
facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires sont nécessaires à
l'analyse. En effet, nos serveurs reçoivent chaque jour des dizaines de milliers de fichiers, ce qui ne permet pas de
répondre à tous les envois.
Envoyer de manière anonyme
Cochez la case en regard de l'option Envoyer de manière anonyme pour envoyer le fichier ou le site Web suspect
98
sans saisir votre adresse e-mail.
Fichier suspect
Signes et symptômes observés d'infection par logiciel malveillant
Saisissez une description du comportement du fichier suspect que vous avez observé sur votre ordinateur.
Origine du fichier (adresse URL ou fournisseur)
Indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront l'identification du fichier
suspect.
le premier paramètre (Signes et symptômes observés d'infection par logiciel malveillant) est obligatoire.
Les autres informations faciliteront la tâche de nos laboratoires lors du processus d'identification des
échantillons.
Site suspect
Dans le menu déroulant Pourquoi ce site est-il suspect ?, sélectionnez l'une des options suivantes :
Infecté
Site Web qui contient des virus ou d'autres logiciels malveillants diffusés par diverses méthodes.
Hameçonnage
L'hameçonnage est souvent utilisé pour accéder à des données sensibles, telles que des numéros de comptes
bancaires, des codes secrets, etc. Pour en savoir plus sur ce type de attaque, consultez le Glossaire .
Scam
Site d'escroquerie ou frauduleux.
Autre
Utilisez cette option si aucune des options ci-dessus ne correspond au site que vous allez soumettre.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui pourront faciliter l'analyse du site Web
suspect.
99
Fichier faux positif
Nous vous invitons à soumettre les fichiers qui sont signalés comme infectés alors qu'ils ne le sont pas, afin
d'améliorer notre moteur de détection et de contribuer à la protection des autres utilisateurs. Les faux positifs
(FP) peuvent se produire lorsque le motif d'un fichier correspond à celui figurant dans un moteur de détection.
Trois premiers paramètres sont nécessaires pour identifier les applications légitimes et les distinguer des
codes malveillants. En fournissant des informations supplémentaires, vous facilitez l'identification et le
traitement des échantillons par nos laboratoires.
Nom et version de l'application
Titre et version du programme (par exemple : numéro, alias et nom de code).
Origine du fichier (adresse URL ou fournisseur)
Indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé.
Objectif de l'application
Description générale, type (navigateur, lecteur multimédia, etc.) et fonctionnalité de l'application.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront le traitement du fichier suspect.
Site faux positif
Nous vous recommandons de soumettre les sites détectés faussement comme infectés ou signalés à tort comme
scam ou hameçonnage. Les faux positifs (FP) peuvent se produire lorsque le motif d'un site correspond à celui
figurant dans un moteur de détection. Veuillez soumettre ce site Web afin d'améliorer notre moteur de détection
et de contribuer à la protection des autres utilisateurs.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront le traitement du fichier suspect.
Autre
Utilisez ce formulaire si le fichier ne peut pas être classé par catégorie en tant que fichier suspect ou faux positif.
Motif de soumission du fichier
Décrivez en détail le motif d'envoi du fichier.
100
Quarantaine
La principale fonction de la quarantaine est de stocker les fichiers infectés en toute sécurité. Les fichiers doivent
être placés en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou
s'ils sont détectés erronément par ESET Mail Security. Vous pouvez choisir de mettre n'importe quel fichier en
quarantaine. Cette action est conseillée si un fichier se comporte de façon suspecte, mais n'a pas été détecté par
l'analyseur de logiciels malveillants. Les fichiers en quarantaine peuvent être soumis pour analyse au laboratoire
de recherche d'ESET.
Les fichiers du dossier de quarantaine peuvent être visualisés dans un tableau qui affiche la date et l'heure de
mise en quarantaine, le chemin d'accès à l'emplacement d'origine du fichier infecté, sa taille en octets, la raison
(par exemple, objet ajouté par l'utilisateur) et le nombre de menaces (s'il s'agit d'une archive contenant plusieurs
infiltrations par exemple).
Si des messages sont placés dans la quarantaine des fichiers, un chemin vers la boîte aux lettres/le dossier/le nom
de fichier s'affiche.
Mise en quarantaine de fichiers
ESET Mail Security met automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désactivé
cette option dans la fenêtre d'alerte). Pour mettre manuellement en quarantaine tout fichier suspect, cliquez sur
Quarantaine. Les fichiers d'origine sont supprimés de leur emplacement initial. Il est également possible d'utiliser
le menu contextuel à cette fin : cliquez avec le bouton droit dans la fenêtre Quarantaine et sélectionnez l'option
Quarantaine.
Restauration depuis la quarantaine
101
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. L'option Restaurer est
disponible dans le menu contextuel accessible en cliquant avec le bouton droit sur le fichier dans le fenêtre
Quarantaine. Si un fichier est marqué comme étant une application potentiellement indésirable , l'option
Restaurer et exclure de l'analyse est également disponible. Le menu contextuel propose également l'option
Restaurer vers qui permet de restaurer des fichiers vers un emplacement autre que celui d'origine dont ils ont été
supprimés.
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de
l'exclure de l'analyse et de l'envoyer au service client d'ESET.
Soumission de fichiers mis en quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été considéré
par erreur comme étant infecté (par exemple par l'analyse heuristique du code) et placé en quarantaine, envoyez
ce fichier au laboratoire d'ESET. Pour soumettre un fichier mis en quarantaine, cliquez avec le bouton droit sur le
fichier et sélectionnez l'option Soumettre le fichier pour analyse dans le menu contextuel.
Suppression d'un élément de la quarantaine
Cliquez avec le bouton droit sur un élément donné, puis sélectionnez Supprimer l'élément en quarantaine. Vous
pouvez également sélectionner les éléments applicables, puis appuyer sur Suppr sur votre clavier.
Description des détections
Ouvre les forums welivesecurity et affiche les détails de la détection dans lesquels vous pouvez obtenir plus
d'informations.
Assistant d’analyse des boîtes aux lettres Microsoft 365
ESET Mail Security prend en charge l’analyse des boîtes aux lettres distantes Microsoft 365 et des dossiers publics,
comme l’analyse de la base de données de boîtes aux lettres à la demande traditionnelle. Pour activer cette
fonctionnalité, enregistrez votre analyseur ESET Mail Security.
Liens rapides
• Enregistrer l’analyseur ESET Mail Security
• Annuler l’enregistrement de l’analyseur ESET Mail Security
Pour commencer à utiliser ESET Mail Security, qui est votre analyseur de base de données de boîtes aux lettres
Microsoft 365, enregistrez l’analyseur ESET Mail Security dans Microsoft Azure. La page de configuration de
l'analyse des boîtes aux lettres Microsoft 365 indique l'état de l'enregistrement. Si vous êtes déjà enregistré, vous
verrez les détails de l'enregistrement (ID du client, ID de l'application, ID de l'objet et empreinte du certificat).
Vous pouvez enregistrer ou annuler l’enregistrement de l’analyseur ESET Mail Security :
102
Après une inscription réussie, l’analyse de la base de données de boîtes aux lettres Microsoft 365 devient
disponible dans le menu Analyse affichant une liste de boîtes aux lettres et de dossiers publics qui peuvent être
sélectionnés pour l’analyse.
Nouvel enregistrement avec un autre compte : Si vous voulez enregistrer l’analyseur ESET Mail Security
avec un nouveau compte Microsoft 365, vous devez annuler l’enregistrement de l’analyseur ESET Mail
Security que vous utilisiez avec votre ancien compte, et effectuer un enregistrement avec le nouveau
compte administrateur Microsoft 365.
Vous trouverez votre analyseur ESET Mail Security enregistré en tant qu'application dans Microsoft Azure. Cliquez
sur Azure Active Directory > Enregistrements d'applications, cliquez sur Afficher toutes les applications; vous
verrez l’analyseur ESET Mail Security dans la liste. L'application ESET OneDrive Scanner s'affiche.
Enregistrer l’analyseur ESET Mail Security
Utilisez la procédure suivante pour enregistrer l'application d'analyse ESET Mail Security auprès de Microsoft
Azure afin d'activer l'analyse de la base de données des boîtes aux lettres Microsoft 365 :
1. Cliquez sur Enregistrer pour commencer l’enregistrement de l’analyseur ESET Mail Security, et un assistant
d’enregistrement s’ouvre.
103
2. Copiez le code fourni, cliquez sur la page Ouvrir l'authentification et entrez le code.
104
3. La page Choisissez un compte de Microsoft s'ouvre dans le navigateur Web. Choisissez le compte que vous
utilisez, s'il est disponible, ou entrez vos informations d'identification de compte administrateur Microsoft 365
et cliquez sur Connexion.
4. L'application d'analyse ESET Mail Security requiert trois types d'autorisations énumérées dans le message
d'acceptation. Cliquez sur Accepter pour autoriser l’analyseur ESET Mail Security à accéder à vos données
Microsoft 365.
5. Fermez le navigateur Web et attendez que l'enregistrement de l'analyseur ESET Mail Security soit terminé.
Vous verrez le message indiquant que l'enregistrement a réussi.
105
6. Dossiers publics (facultatif)
Si vous souhaitez analyser des dossiers publics, fournissez un nom de compte d’utilisateur principal (mot de passe
non requis) pour l’emprunt d’identité. Assurez-vous que la configuration de ce compte d’utilisateur ait accès à
tous les dossiers publics. Cliquez sur Terminé.
Annuler l’enregistrement de l’analyseur ESET Mail
Security
Le processus de désenregistrement vous permet de supprimer le certificat et l’application d’analyse ESET Mail
Security de Microsoft Azure. Ce processus supprime également les dépendances locales et rend l'option
Enregistrer à nouveau disponible.
1. Cliquez sur Configuration > Serveur > Analyse des boîtes aux lettres Microsoft 365, puis sur Annuler
l’enregistrement pour commencer le processus de suppression de l’analyseur ESET Mail Security. Un assistant
d’annulation d’enregistrement s'ouvre.
106
2. Cliquez sur Annuler l'enregistrement pour confirmer que vous souhaitez supprimer l’analyseur ESET Mail
Security. Attendez que l’annulation de l’enregistrement de Microsoft Azure soit terminée.
107
3. Si le processus d’annulation de l’enregistrement se termine avec succès, l’assistant d’annulation de
l’enregistrement affichera le message L’annulation de l’enregistrement a réussi.
Configuration avancée
Vous pouvez configurer les paramètres généraux et les options selon vos besoins. Voici les catégories présentées
dans le menu de gauche :
Serveur
Gérer l’intégration de la protection ESET Mail Security à votre serveur Microsoft Exchange. Lorsque vous activez
l’intégration de la protection de la base de données de boîtes aux lettres, de la protection du transport du courriel
ou de la signature DKIM, vous pouvez accéder aux paramètres de chaque type de protection dans leur section
respective.
Computer
Permet d'activer ou de désactiver la détection d'applications potentiellement indésirables, dangereuses et
suspectes, ainsi que la protection Anti-furtif. Spécifiez les exclusions de processus ou de fichiers et de dossiers.
Configurez la Protection en temps réel du système de fichiers, les paramètres ThreatSense, la protection basée
sur le nuage (ESET LiveGrid®), les analyses à la recherche de logiciels malveillants (analyse de l'ordinateur à la
demande et autres options d'analyse) ainsi que l'analyse Hyper-V et HIPS.
Mettre à jour
108
Configurez les options de mise à jour telles que profils, âge du moteur de détection, type de mise à jour, serveur
de mise à jour personnalisé, serveur de connexion/mandataire, miroir de mise à jour, accès aux fichiers de mise à
jour, serveur HTTP, etc.
Protection de l'accès au réseau
Gérez la protection du réseau : profil de connexion réseau, protection contre les attaques réseau (IDS), protection
contre les attaques par force brute et protection contre les botnets.
Web et messagerie
Permet de configurer le filtrage des protocoles et les exclusions (applications et adresses IP exclues), les options
de filtrage des protocoles SSL/TLS, la protection du client de messagerie (intégration, protocoles de courriels,
alertes et notifications), la protection de l'accès Web (protocoles Web HTTP/HTTPS et gestion des adresses URL)
ainsi que la protection anti-hameçonnage du client de messagerie.
Contrôle de périphériques
Permet d'intégrer et de configurer les règles de contrôle de périphériques ainsi que les groupes.
Configuration d'outils
Permet de personnaliser des outils tels que ESET CMD, ESET RMM, le fournisseur WMI, les cibles d'analyse ESET
PROTECT, les notifications Windows Update, les fichiers journaux, les notifications par courriels, les diagnostics,
les grappes, etc.
Connectivité
Spécifiez les paramètres du serveur mandataire si nécessaire.
Interface utilisateur
Configurez la fenêtre principale du programme, les informations de licence, la protection par mot de passe, la
politique d’exécution de eShell et plus encore.
Notifications
Configurez les notifications à afficher sur le bureau ou à envoyer par courriel pour les états de l'application, les
notifications sur le bureau, les alertes interactives et le transfert.
Serveur
Les paramètres de protection du serveur constituent la principale option d’intégration. Cliquez sur le
commutateur d’activation/de désactivation pour activer ou désactiver l’intégration de la protection de base de
données de boîtes de courriels, de la protection du transport du courriel ou de la connexion DKIM à votre serveur
Exchange. Lorsque cette option est activée, vous pouvez configurer des paramètres détaillés pour chaque type de
protection dans sa section respective.
Pour la configuration de la priorité de l’agent, nous vous recommandons de conserver la priorité de l’agent
ESET DKIM à la dernière place, en bas, pour vous assurer que les en-têtes sont signés en dernier lieu après
les modifications apportées aux en-têtes par les agents précédents.
109
Si vous exécutez Microsoft Exchange Server 2010 ou 2010, vous pouvez choisir entre Protection de base de
données de boîtes de courriels et Analyse de base de données de boîtes de courriels à la demande. Un seul
type de protection peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données
de boîte de courriels à la demande, vous devrez désactiver la protection de la base de données de la boîte
de courriels. Sinon l'option Analyse de la base de données de boîtes de courriels à la demande ne sera pas
disponible.
ESET Mail Security offre une protection substantielle à Microsoft Exchange Server grâce aux fonctionnalités
suivantes :
• Antivirus et antispyware
• Protection antipourriel
• Protection anti-hameçonnage
• Règles
• Protection du transport du courriel (Exchange Server 2010, 2013.2016, 2019)
• Protection de la base de données de messagerie (Exchange Server 2010)
• Analyse de base de données de boîtes de courriels à la demande (Exchange Server 2010, 2013, 2016,
2019)
• Quarantaine de courriel (paramètres du type Quarantaine de courriel)
• Signature DKIM
Configuration de la priorité de l'agent
Si nécessaire, vous pouvez indiquer la priorité selon laquelle les agents ESET Mail Security deviennent actifs après
le démarrage de Microsoft Exchange Server. La valeur numérique définit la priorité. Les chiffres inférieurs
indiquent une priorité plus élevée. Cela s'applique à Microsoft Exchange Server 2010 et les version plus récentes.
110
Haut/Bas
Permet d'élever ou de réduire la priorité de l'agent sélectionné en le déplaçant vers le haut ou vers le bas dans la
liste. Vous pouvez modifier la priorité des agents concernés (surlignée en gras).
Nous vous recommandons de conserver la priorité de l’agent ESET DKIM à la dernière place, en bas, pour
vous assurer que les en-têtes sont signés en dernier lieu après toute modification apportée aux en-têtes
par les agents précédents.
Antivirus et antispyware
Dans cette section, vous pouvez configurer les options Antivirus et anti-logiciel espion de votre serveur de
courriel.
L’agent de transport assure la protection du transport du courriel. N'est disponible que pour Microsoft
Exchange Server 2010 et versions ultérieures, mais votre Exchange Server doit avoir le rôle Edge Transport
Server ou Hub Transport Server. Cela s'applique aussi à l'installation d'un seul serveur avec plusieurs rôles
Exchange Serveur sur un ordinateur (tant qu'il inclut le rôle Edge ou Hub Transport).
Protection du transport de messagerie
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion du transport du courriel, le
plugiciel ESET Mail Security pour le serveur Exchange ne sera pas déchargé du processus du serveur Microsoft
Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection des virus sur la couche
111
de transport. Les messages seront quand même analysés à la recherche de virus et de pourriel sur la couche de la
base de données et les règles existantes seront appliquées.
Protection de la base de données de messagerie
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion de la base de données de la boîte
de courriel, le module d'extension ESET Mail Security pour le serveur Exchange ne sera pas déchargé du processus
du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection
des virus sur la couche de la base de données. Les messages seront quand même analysés à la recherche de virus
et de pourriel sur la couche de la base de données et les règles existantes seront appliquées.
Analyse de la base de données de boîtes de courriels à la demande
L’analyse de la base de données de boîtes de courriel à la demande est disponible après la désactivation de la
protection de la base de données de boîtes de courriel dans la section Serveur.
paramètres ThreatSense
Modifiez les paramètres d'analyse pour la protection du transport du courriel, la protection de base de données
de boîtes de courriels et l'analyse de la base de données de boîtes de courriels à la demande.
Protection antipourriel
La protection antipourriel de votre serveur de messagerie est activée par défaut. Pour la désactiver, cliquez sur
l'interrupteur situé à côté de l'option Activer la protection antipourriel.
112
La désactivation de la protection antipourriel ne modifiera pas l'état de la protection. Bien que la fonction
antipourriel soit désactivée, le message Vous êtes protégé va continuer de s'afficher en vert dans la section
Surveillance de la fenêtre principale du programme. La désactivation de la fonction antipourriel n'est pas
considérée comme une réduction de la protection.
Utiliser les listes blanches d’Exchange Server pour contourner automatiquement la protection antipourriel
Cette option permet à ESET Mail Security d'utiliser des « listes blanches » Exchange précises. Lorsqu'elle est
activée, les points suivants sont pris en compte :
• L'envoi de l'adresse IP du serveur est sur la liste des adresses IP autorisées du serveur Exchange
• L'indicateur de Contournement antipourriel est réglé dans la boîte aux lettres du destinataire du message
• L'adresse de l'expéditeur figure sur la Liste des Expéditeurs fiables du destinataire du message (assurezvous que vous avez configuré la synchronisation de la Liste des expéditeurs fiables dans votre
environnement Exchange Server, y compris l'Agrégation des listes fiables)
Si l'un de ces cas s'applique à un message entrant, la vérification antipourriel de ce message sera court-circuitée.
Le message ne fera pas l'objet d'une vérification antipourriel et sera livré dans la boîte de courriel du destinataire.
Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP
Cet indicateur est utile lorsque vous avez des sessions SMTP authentifiées entre les serveurs Exchange dont la
configuration de contournement antipourriel est activée. Par exemple, lorsque vous avez un serveur Edge et un
serveur Hub, il n'est pas nécessaire d'analyser le trafic entre ces deux serveurs. L'Indicateur d'acceptation du
contournement antipourriel configuré sur la session SMTP est activé par défaut, mais ne s'applique que lorsque
113
l'indicateur de contournement antipourriel est configuré pour la session SMTP sur votre Exchange Server. Si vous
désactivez l'option Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP, ESET
Mail Security analysera la session SMTP à la recherche de pourriel, sans égard au paramètre de contournement
antipourriel dans votre Exchange Server.
Pour que le module antipourriel offre une protection optimale, vous devez mettre à jour régulièrement la
base de données antipourriel. Pour autoriser la mise à jour régulière de la base de données antipourriel,
assurez-vous que ESET Mail Security ait accès aux bonnes adresses IP sur les ports nécessaires. Pour en
savoir plus sur les adresses IP et les ports à activer sur votre coupe-feu tiers, voir notre article sur la Base de
connaissances.
Vous trouverez les paramètres de fonctionnalité dans leurs sections :
• Filtrage et vérification
• Paramètres avancés
• Paramètres de mise en liste grise
• SPF et DKIM
• Protection contre la rétrodiffusion
• Protection contre l’usurpation d’identité de l’expéditeur
Filtrage et vérification
Vous pouvez configurer les listes Autorisées, Bloquées et Ignorées en spécifiant des critères comme l'adresse IP
ou l'intervalle, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur Modifier pour
la liste à gérer.
Les adresses IP ou les domaines inclus dans les listes Ignorées ne seront pas testés par la protection
antipourriel, mais d'autres techniques de protection antipourriel seront appliquées.
Les listes ignorées doivent contenir toutes les adresses IP ou les noms de domaine de l'infrastructure
interne. Vous pouvez également inclure les adresses IP ou les noms de domaine de vos FAI ou des serveurs
de messagerie externes qui sont actuellement mis sur liste noire par l'un des RBL ou DNSBL (liste noire
infonuagique : liste noire d'ESET ou liste noire d'un tiers).
Cela vous permet de recevoir des courriels de sources incluses dans les listes ignorées, même si leurs
adresses IP sont sur la liste noire sur le nuage. Ces courriels entrants sont reçus et leur contenu est inspecté
par d'autres techniques de protection antipourriel.
Liste des adresses IP
approuvées
Inscrit automatiquement sur une liste blanche les courriels provenant des adresses IP
spécifiées. Le contenu du courriel ne sera pas vérifié.
Liste des adresses IP
bloquées
Bloque automatiquement les courriels provenant des adresses IP spécifiées.
Liste des adresses IP
ignorées
Liste des adresses IP qui sont ignorées pendant la classification. Le contenu du courriel
sera vérifié. Utilisez le commutateur Fait partie de l'infrastructure interne si vous devez
ajouter des adresses IP locales de votre réseau à la liste blanche. Consultez l'exemple cidessous.
Liste des domaines de
corps bloqués
Bloque les courriels qui contiennent le domaine spécifié dans le corps de message. Seuls
les domaines avec un vrai TLD (domaine de premier niveau) sont acceptés.
114
Liste des domaines de
corps ignorés
Les domaines spécifiés dans le corps de message sont ignorés pendant la classification.
Seuls les domaines avec un vrai TLD (domaine de premier niveau) sont acceptés.
Liste des adresses IP de Bloque les courriels dont le corps de message contient l'adresse IP spécifiée.
corps bloquées
Liste des adresses IP de Les adresses IP spécifiées dans le corps de message sont ignorées pendant la
corps ignorées
classification.
Liste des expéditeurs
approuvés
Met sur la liste blanche des courriels provenant d'un expéditeur spécifique. Une seule
adresse d'expéditeur ou un domaine entier est utilisé pour la vérification en fonction de
la priorité suivante :
1.SMTP 'MAIL FROM' adresse
2.champ d'en-tête de courriel « "Return-Path:" »
3.champ d'en-tête de courriel « "X-Env-Sender:" »
4.champ d'en-tête de courriel « "From:" »
5.champ d'en-tête de courriel « "Sender:" »
6.champ d'en-tête de courriel « "X-Apparently-From:" »
Lorsque vous ajoutez un nouvel élément à la liste Expéditeurs approuvés, vous pouvez
insérer un domaine de premier niveau, un domaine de deuxième niveau ou une adresse
e-mail. Formats acceptés :
.ext
domain.ext
user@domain.ext
Liste des expéditeurs
bloqués
Bloque les e-mails provenant d'un expéditeur ou d'un domaine spécifique. Toutes les
adresses d'expéditeur identifiées ou les domaines entiers sont utilisés pour la
vérification :
SMTP 'MAIL FROM' adresse
champ d'en-tête de courriel « "Return-Path:" »
champ d'en-tête de courriel « "X-Env-Sender:" »
champ d'en-tête de courriel « "From:" »
champ d'en-tête de courriel « "Sender:" »
champ d'en-tête de courriel « "X-Apparently-From:" »
Lorsque vous ajoutez un nouvel élément à la liste Expéditeurs bloqués, vous pouvez
insérer un domaine de premier niveau, un domaine de deuxième niveau ou une adresse
e-mail. Formats acceptés :
.ext
domain.ext
user@domain.ext
Domaine approuvé
dans la liste des
adresses IP
Inscrit sur une liste blanche les courriels provenant des adresses IP qui sont résolues à
partir des domaines spécifiés dans cette liste. Les enregistrements SPF (Sender Policy
Framework) sont reconnus lors de la résolution des adresses IP.
Domaine bloqué dans
la liste des adresses IP
Bloque les courriels provenant des adresses IP qui sont résolues à partir des domaines
spécifiés dans cette liste. Les enregistrements SPF sont reconnus lors de la résolution
des adresses IP.
Domaine ignoré dans la Liste des domaines qui sont résolus en adresses IP, lesquelles ne peuvent être à leur
liste des adresses IP
tour vérifiées pendant la classification. Les enregistrements SPF sont reconnus lors de la
résolution des adresses IP.
Liste des pays bloqués Bloque les courriels provenant des pays spécifiés. Le blocage est basé sur l'adresse IP
géographique. Si un pourriel est envoyé à partir d'un serveur de messagerie ayant une
adresse IP répertoriée dans la base de données de géolocalisation pour un pays que
vous avez sélectionné dans les pays bloqués, il sera automatiquement marqué comme
pourriel et une action sera effectuée selon le réglage de Action à appliquer contre les
pourriels sous Protection du transport du courriel.
Les listes des domaines de corps n'acceptent que les domaines avec un TLD réel (domaine de premier
niveau), conformément à la base de données de zone racine officielle des TLD.
115
Si vous voulez ajouter plusieurs entrées, cliquez sur Entrer plusieurs valeurs dans la fenêtre Ajouter et
sélectionner le séparateur à utiliser. Il peut s’agir d’un retour à la ligne, d’une virgule ou d’un point-virgule.
Objectif: Exclure les adresses IP locales de votre infrastructure de la protection antipourriel en les ajoutant
dans la liste Ignorer les adresses IP
Accédez à Configuration avancée (F5) > Serveur > Protection antipourriel > Filtrage et vérification.
Cliquez sur Modifier en regard de Liste des adresses IP ignorées
Cliquez sur Ajouter et spécifiez la plage d'adresses IP de votre infrastructure réseau (format de plage
d'adresses IP 1.1.1.1-1.1.1.255). Vous pouvez continuer à ajouter plus de plages (ou d'adresses IP uniques)
à la liste, si nécessaire.
Utilisez la barre de défilement Fait partie de l'infrastructure interne.
Ajout à la liste grise et SPF
Spécifiez les domaines dont l'adresse IP sera mise en liste blanche ou la liste blanche des adresses IP à ignorer
automatiquement lors de la mise en liste grise et de SPF. Vous pouvez voir les fichiers journaux dans le Journal de
protection SMTP. Pour utiliser ces options, vous devez activer les options Mise en liste grise ou SPF. Dans le cas de
SPF, vous devez activer les paramètres Rejeter automatiquement les messages en cas d'échec de la vérification
SPF et/ou Ignorer automatiquement la mise en liste grise si la vérification SPF a réussi.
Utilisez les listes antipourriels pour ignorer automatiquement la mise en liste grise et SPF
Lorsque cette fonction est activée, la liste des adresses IP approuvées et ignorées est utilisée conjointement avec
les adresses IP et les domaines dont les adresses IP doivent figurer sur les listes blanches d'ignorer
automatiquement la mise en liste grise et SPF.
Liste blanche des adresses IP
Dans cette section, vous pouvez ajouter des adresses IP, des adresses IP avec masque et des plages d'adresses IP.
Vous pouvez modifier la liste en cliquant sur Ajouter, Modifier ou Supprimer. Par ailleurs, vous pouvez importer
votre liste personnalisée à partir d'un fichier au lieu d'ajouter chaque entrée manuellement; pour cela, cliquez sur
Importer, puis recherchez le fichier contenant les entrées que vous souhaitez ajouter à la liste. De même, si vous
devez exporter votre liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
Les listes blanches ont priorité sur les listes noires, c'est-à-dire que si un courriel contient à la fois une
adresse sur la liste blanche et une adresse sur la liste noire, il est mis sur la liste blanche. Seules la dernière
adresse d'expéditeur et jusqu'au Nombre maximum d'adresses vérifiées à partir de l'en-tête Reçues sont
vérifiées par rapport aux listes blanches. Toutes les adresses sont vérifiées par rapport aux listes noires
locales.
Domaine à mettre l'adresse IP en liste blanche
Cette option vous permet de spécifier les domaines (par ex, domainname.local). Pour gérer la liste, utilisez
Ajouter ou Supprimerou Tout supprimer. Si vous souhaitez importer votre liste personnalisée à partir d'un fichier
au lieu d'ajouter chaque entrée manuellement, cliquez sur Importer, puis recherchez le fichier contenant les
entrées que vous souhaitez ajouter à la liste. De même, si vous devez exporter votre liste existante vers un fichier,
sélectionnez Exporter dans le menu contextuel.
Les listes grises et SPF sont évaluées par la protection du transport de courriel et vous permettent d'utiliser
les adresses IP et les domaines dont les adresses IP ont été ajoutées à la liste blanche, ainsi que la liste des
adresses IP approuvées et ignorées. Toutefois, si vous utilisez des règles SPF, aucune de ces listes blanches
n'est prise en compte pour les règles.
116
Les paramètres avancés de l'antipourriel
Configurez ces paramètres pour la vérification des messages par des serveurs externes (définis comme RBL Realtime Blackhole List, DNSBL - DNS Blocklist) en fonction des critères prédéfinis. Les serveurs RBL sont
interrogés avec des adresses IP extraites des en-têtes Received: et les serveurs DNSBL sont interrogés avec des
adresses IP et des domaines extraits du corps du message.
Pour obtenir plus d’explications, consultez les articles sur RBL et DNSBL.
Nombre maximum d'adresses vérifiées à partir de l'en-tête Reçues :
Vous pouvez limiter le nombre d'adresses IP qui sont vérifiées par la solution antipourriel. Cela vise les adresse IP
écrites dans les en-têtes Received: from. La valeur par défaut est 0, ce qui signifie que seule l'adresse IP du
dernier expéditeur identifié est vérifiée.
Vérifier l'adresse de l'expéditeur par rapport à la liste noire des utilisateurs finaux
Les courriels qui ne sont pas envoyés à partir des serveurs de courriel (les ordinateurs qui ne sont pas dans la liste
en tant que serveurs de courriel) sont vérifiés pour s'assurer que l'expéditeur n'est pas sur la liste noire. Cette
option est désactivée par défaut. Vous pouvez la désactiver au besoin, mais les messages qui ne sont pas envoyés
à partir des serveur de courriel ne seront pas vérifiées par rapport à la liste noire.
Les résultats des listes de blocage externes de tiers ont la priorité sur la liste noire de l'utilisateur final pour
les adresses IP dans les entêtes Received: from. Toutes les adresses IP (jusqu'au nombre maximum spécifié
d'adresses vérifiées) sont envoyées pour évaluation par des serveurs tiers externes.
Serveurs RBL supplémentaires
Il s'agt d'une liste de serveurs Realtime Blackhole List (RBL) à interroger lors de l'analyse des messages.
Lors de l'ajout de serveurs RBL supplémentaires, entrez le nom de domaine du serveur (par ex.,
sbl.spamhaus.org). Cela fonctionne avec tous les codes de retour qui sont pris en charge par le serveur.
Vous pouvez aussi spécifier un nom de serveur avec un code de retour sous le format : server:response (par
exemple, zen.spamhaus.org:127.0.0.4). Lorsque ce format est utilisé, nous vous recommandons d'ajouter chaque
nom de serveur et chaque code de retour séparément pour obtenir une liste complète. Cliquez sur Entrez des
valeurs multiples dans la fenêtre Ajouter pour spécifier tous les noms de serveur et leurs codes de retour. Les
entrées devraient ressembler à l'exemple ci-dessous, le nom d'hôte des serveurs RBL et les codes de retour
117
peuvent varier :
Vous pouvez aussi importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter chaque entrée
manuellement; cliquer sur Importer et accéder au fichier contenant les entrées à ajouter à la liste. De même, si
vous devez exporter votre liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
Limite d'exécution de la requête RBL (en secondes)
Cette option vous permet d'établir un délai maximal pour les requêtes RBL. Les réponses RBL ne sont utilisées que
si elles proviennent des serveurs RBL qui répondent à temps. Si la valeur est réglée à « 0 », il n'y a pas de délai
d'attente maximal.
Nombre maximum d'adresses vérifiées par rapport à la liste RBL
Cette option vous permet de limiter le nombre d'adresses IP interrogées par rapport au serveur RBL. Veuillez
noter que le nombre total de requêtes RBL correspondra au nombre d'adresses IP dans les en-têtes dans le
dossier Reçus : les en-têtes (jusqu'à un maximum d'adresses IP vérifiées par rapport à la liste RBL) multiplié par le
nombre de serveurs RBL spécifiés dans la liste RBL. Si la valeur est réglée à « 0 », un nombre illimité d'en-têtes
reçus sera vérifié. Veuillez noter que les adresses IP qui correspondent à la liste d'adresses IP ignorées ne
comptent pas dans la limite d'adresses IP RBL.
Serveurs DNSBL supplémentaires
Il s'agit d'une liste des serveurs DNS Blocklist (DNSBL) à interroger avec les domaines et les adresses IP extraits du
corps de message.
Lors de l'ajout de serveurs DNSBL supplémentaires, entrez le nom de domaine du serveur (par ex.,
dbl.spamhaus.org). Cela fonctionne avec tous les codes de retour qui sont pris en charge par le serveur.
118
Vous pouvez aussi spécifier un nom de serveur avec un code de retour sous la forme : server:response (par
exemple, zen.spamhaus.org:127.0.0.4). Dans ce cas, nous vous recommandons d'ajouter chaque nom de serveur
et chaque code de retour séparément pour obtenir une liste complète. Cliquez sur Entrez des valeurs multiples
dans la fenêtre Ajouter pour spécifier tous les noms de serveur et leurs codes de retour. Les entrées devraient
ressembler à l'exemple ci-dessous, le nom d'hôte des serveurs DNSBL et les codes de retour peuvent varier :
Limite d'exécution de la requête DNSBL (en secondes)
Permet d'établir un délai d'attente maximal pour toutes les requêtes DNSBL à compléter.
Nombre maximum d'adresses vérifiées par rapport à la liste DNSBL
Permet de limiter le nombre d'adresses IP interrogées par rapport au serveur DNS Blocklist.
Nombre maximum de domaines vérifiés par rapport à la liste DNSBL
Permet de limiter le nombre de domaines IP interrogées par rapport au serveur DNS Blocklist.
Taille maximale de l'analyse des messages (ko)
Permet de limiter l'analyse antipourriel des messages dont la taille est supérieure à la valeur spécifiée. La valeur
119
par défaut 0 indique qu'il n'y a pas de limite à la taille des messages analysés. Normalement, il n'y a aucune raison
de limiter l'analyse antipourriels, mais si vous avez besoin de la limiter dans certaines situations, changez la valeur
en utilisant la taille requise. Lorsqu'il est configuré, le moteur antispourriel traite les messages dont la taille ne
dépasse pas la valeur spécifiée et ignore les messages plus volumineux.
La plus petite limite possible est de 12 kB. Si vous définissez une valeur comprise entre 1 et 12, le moteur
antipourriel lira toujours au moins 12 kB.
Activer le rejet temporaire des messages indéterminés
Si le moteur antipourriel ne peut pas déterminer si un message est un POURRIEL ou non, ce qui veut dire que le
message a des caractéristiques suspectes propres aux POURRIELS, mais pas assez pour être marqué comme
POURRIEL (par exemple, le premier message d'une campagne ou un courriel provenant d'une plage d'adresses IP
avec des évaluations mixtes), alors ce paramètre (lorsqu'il est activé) autorise ESET Mail Security à rejeter
temporairement un tel message (comme le fait la mise en liste grise). Le rejet se poursuit pendant une durée
déterminée, jusqu'à ce que :
• L'intervalle soit écoulé et que le message soit accepté lors de la prochaine tentative de livraison. Ce
message est laissé dans sa classification initiale (POURRIEL OU LÉGITIME).
• Le nuage antipourriel rassemble suffisamment de données et est capable de classer correctement le
message avant la fin de l'intervalle.
Le message rejeté n'est pas gardé par ESET Mail Security, car il doit être renvoyé par le serveur d'envoi de courriel
conformément à la spécification RFC sur le SMTP.
Activer l'envoi des messages rejetés temporairement pour fins d'analyse
Le contenu du message est automatiquement envoyé pour une analyse approfondie. Cela contribue à améliorer
la classification des messages pour les prochains courriels.
Il est possible que des messages rejetés temporairement qui sont envoyés pour analyse soient en fait des
messages légitimes. Dans de rares cas, des messages temporairement rejetés peuvent être utilisés pour
une évaluation manuelle. N'activez cette fonction que si tout risque de fuite des données confidentielles
est écarté.
Paramètres de mise en liste grise
La fonction Activer Greylisting active une fonctionnalité qui protège les utilisateurs contre les pourriels en
utilisant la technique suivante : L'agent de transport envoie une valeur de retour SMTP de « rejet temporaire » (la
valeur par défaut étant 451/4.7.1) pour tout message reçu ne provenant pas d'un expéditeur reconnu. Après un
certain temps, un serveur légitime tentera de renvoyer le message. De façon générale, les serveurs de pourriel ne
tentent pas de renvoyer le message, puisqu'ils utilisent des milliers d'adresses de courriel et ne perdront donc pas
de temps à essayer de renvoyer un message. Greylisting est une autre couche de protection antipourriel, mais elle
n'a aucun effet sur les capacités d'évaluation du pourriel du module antipourriel.
Pour évaluer la source du message, Greylisting utilise une méthode qui tient compte de la configuration des listes
Adresses IP approuvées, Adresses IP ignorées, Expéditeurs fiables et Autoriser l'adresse IP sur le serveur Exchange
et des paramètres de contournement de la protection antipourriel de la boîte de courriel du destinataire. Les
courriels provenant de ces listes d'adresses IP/d'expéditeurs ou les courriels livrés dans la boîte de courriel pour
laquelle l'option de contournement de la protection antipourriel a été activée ne seront pas évalués par la
120
méthode de détection Greylisting.
Utiliser seulement la partie du domaine de l'adresse de l'expéditeur
Cette fonctionnalité ignore le nom de l’expéditeur dans l’adresse de courriel; seul le domaine est pris en compte.
Synchroniser les bases de données des listes grises avec toute la grappe ESET
Les entrées de la base de données de listes grises sont partagées en temps réel entre les serveurs de la grappe
ESET. Lorsque l'un des serveurs reçoit un message qui est traité par la mise en liste grise, cette information est
diffusée par ESET Mail Security sur le reste des nœuds de la grappe ESET.
Délai de refus de la connexion initiale (min)
Lors de la première tentative de livraison d'un message temporairement refusé, ce paramètre définit la durée
pendant laquelle le message sera toujours refusé (calculé à partir du premier refus). Une fois le délai écoulé, le
message sera accepté. La valeur minimale que vous pouvez entrer est 1 minute.
Délai d'expiration des connexions non vérifiées (heures)
Ce paramètre définit la durée minimale pendant laquelle le triplet de données sera stocké. Un serveur valide doit
renvoyer le message voulu avant l'expiration de cette période. Cette valeur doit être supérieure à la valeur du
Délai de refus de la connexion initiale.
Délai d'expiration des connexions non vérifiées (jours)
Le nombre minimal de jours pendant lequel le triplet de données sera stocké, délai pendant lequel les messages
envoyés par un expéditeur donné seront acceptés sans délai. Cette valeur doit être supérieure à la valeur du Délai
d'expiration des connexions non vérifiées.
Réponse SMTP (pour les connexions temporairement refusées)
Spécifiez un Code de réponse, un Code d'état et un Message de réponse, qui définissent la réponse de refus
temporaire envoyée au serveur SMTP si un message est refusé. Exemple d'un message de réponse de refus
SMTP :
Code de réponse Code d'état
451
4.7.1
Message de réponse
Veuillez réessayer ultérieurement.
Vous pouvez également utiliser les variables du système au moment de définir la réponse de refus SMTP.
Une syntaxe incorrecte des codes de réponse SMTP pourrait entraîner un mauvais fonctionnement de la
protection Greylisting. Ainsi, il est possible d'envoyer les pourriels peuvent être envoyés aux clients ou de
ne jamais les envoyer.
Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits dans le journal de protection
SMTP.
SPF et DKIM
SPF (Sender Policy Framework) et DomainKeys Identified Mail (DKIM) sont des méthodes de validation qui
vérifient que les courriels entrants provenant de domaines spécifiques sont autorisés par le propriétaire de ce
121
domaine. Cela permet de protéger les destinataires contre la réception de messages envoyés avec une identité
usurpée. ESET Mail Security uses utilise également l'évaluation DMARC (Domain-based Message Authentication,
Reporting and Conformance) pour améliorer encore le SPF et le DKIM.
SPF
Une vérification SPF vérifie qu’un courriel a été envoyé par un expéditeur légitime. Une recherche DNS des
enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une liste d'adresses IP. Si l'une des
adresses IP provenant des enregistrements SPF correspond à l'adresse IP réelle de l'expéditeur, le résultat de la
vérification SPF est Réussite. Si l'adresse IP réelle de l'expéditeur ne correspond pas, le résultat est Échec. Il faut
cependant noter que tous les domaines n'ont des enregistrements SPF spécifiés dans le DNS. Si aucun
enregistrement SPF n'existe dans le DNS, le résultat est Non disponible. Des dépassements de délai peuvent se
produire occasionnellement pour les requêtes DNS, auquel cas le résultat est également N'est pas disponible.
DKIM
est utilisé par les organisations pour empêcher la mystification des courriels grâce à l'ajout d'une signature
numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique l'utilisation d'une clé de
domaine privé pour chiffrer les en-têtes de courriels sortant de vos domaines et l'ajout d'une version publique de
la clé aux enregistrements DNS du domaine. ESET Mail Security peut alors extraire la clé publique pour déchiffrer
les en-têtes entrants et vérifier que le message provient réellement de votre domaine et que son en-tête n'a pas
été modifié en cours de route.
Exchange Server 2010 et les versions antérieures ne sont pas entièrement compatibles avec DKIM, car les
en-têtes inclus dans les messages entrants signés numériquement peuvent être modifiés pendant la
validation DKIM.
DMARC
DMARC se base sur les deux mécanismes existants, SPF et DKIM. Vous pouvez utiliser les règles de protection du
transport du courriel pour évaluer les actions Résultat DMARC et Appliquer la politique DMARC.
ARC
Le protocole ARC (Authenticated Received Chain) fournit une « chaîne de possession » authentifiée pour un
message, permettant à chaque entité qui gère le message de voir quelles entités l'ont traité auparavant et quelle
était l'évaluation de l'authentification du message à chaque étape. Authenticated Received Chain (ARC) relève le
défi des serveurs de messagerie intermédiaires brisant les méthodes d'authentification classiques telles que SPF
ou DKIM en modifiant l'e-mail.
ARC permet aux gestionnaires de messagerie Internet de joindre des assertions d'évaluation de l'authentification
des messages à des messages individuels. Au fur et à mesure que les messages traversent les gestionnaires de
messagerie Internet compatibles ARC, des assertions ARC supplémentaires peuvent être jointes aux messages
pour former des ensembles ordonnés d'assertions ARC qui représentent l'évaluation de l'authentification à
chaque étape des chemins de traitement des messages.
Les gestionnaires de messagerie Internet compatibles ARC peuvent traiter des ensembles d'assertions ARC pour
éclairer les décisions de disposition des messages, identifier les gestionnaires de messagerie Internet qui
pourraient briser les mécanismes d'authentification existants et transmettre les évaluations d’authentification
d'origine au-delà des limites de confiance.
Pour plus d’informations sur ARC et les cas d'utilisation de gestion des messages qu'il traite, consultez Cas
122
d'utilisation ARC.
Accepter les signatures ARC
La fonctionnalité ARC est activée par défaut. L'antispam ESET Mail Security évalue les en-têtes ARC dans le cadre
de règles définies pour SPF, DKIM, DMARC et uniquement dans les cas suivants :
• Le résultat de SPF est FAIL, SOFTFAIL
• Le résultat de DKIM est FAIL
• Le résultat de DMARC est FAIL
Signataire ARC de confiance
Seules les signatures ARC de signataires de confiance sont acceptées. La liste des signataires de confiance par
défaut est la suivante : google.com, gmail.com, googlegroups.com, messagingengine.com, fastmail.com,
fastmail.fm, outlook.com, hotmail.com, office365.com, microsoft.com, yahoo.com, ymail.com, icloud.com,
me.com, amazon.com, and aws.amazon.com.
Détection automatique des serveurs DNS
La détection automatique utilise les paramètres de votre carte réseau.
Adresse IP du serveur DNS
Si vous souhaitez utiliser des serveurs DNS précis pour SPF et DKIM, entrez l'adresse IP (au format IPv4 ou IPv6)
du serveur DNS que vous souhaitez utiliser.
Délai de requête DNS (secondes)
Spécifiez un délai d’attente pour la réponse DNS.
Rejeter automatiquement les messages si la vérification SPF échoue
Si la vérification SPF échoue immédiatement, le courriel peut être rejeté avant qu'il ne soit téléchargé.
123
La vérification SPF est effectuée sur la couche SMTP. Cependant, il peut être rejeté automatiquement sur la
couche SMTP ou lors de l'évaluation des règles.
Les messages rejetés ne peuvent pas être enregistrés dans le journal des événements lorsque vous utilisez
le rejet automatique sur la couche SMTP. En effet, la journalisation est effectuée par une action de règle et
le rejet automatique est effectué directement sur la couche SMTP qui se produit avant l'évaluation de la
règle. Comme les messages sont rejetés avant l'évaluation des règles, il n'y a pas d'informations à consigner
au moment de l'évaluation des règles.
Vous pouvez enregistrer les messages rejetés, mais uniquement si vous rejetez les messages par une action
de règle. Pour rejeter les messages pour lesquelles la vérification SPF n'a pas réussi et journaliser ces
messages rejetés, désactivez Rejeter automatiquement les messages si la vérification du SPF échoue et
créez la règle suivante pour Protection du transport du courriel :
Condition
• Type : Résultat SPF
• Opération : est
• Paramètre : Échec
Actions
• Type : Rejeter le message
• Type : Journaliser les événements
Utiliser le domaine Helo dans l’évaluation SPF
Cette caractéristique utilise le domaine HELO pour l’évaluation SPF. Si le domaine HELO n’est pas spécifié, le nom
d’hôte de l’ordinateur est utilisé à la place.
Utiliser l'entête Expéditeur : si COURRIEL ENVOYÉ PAR est vide
L'en-tête MAIL FROM peut être vide; elle peut également contenir une identité usurpée. Lorsque cette option est
activée, et que MAIL FROM est vide, le message est téléchargé et l'entête From: est utilisée à la place.
Ignorer automatiquement la mise en liste grise si la vérification SPF a réussi
Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite de la vérification SPF.
Réponse de rejet SMTP
Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse
de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire un message de
réponse en respectant le format suivant :
Code de réponse Code d'état
550
5.7.1
Message de réponse
La vérification SPF a échoué
Protection contre la rétrodiffusion
La rétrodiffusion des pourriels est un effet secondaire indésirable des pourriels. Il s'agit de la notification de nonremise mal dirigée et envoyée par les serveurs de courriels. Lorsqu'un pourriel est rejeté par le serveur de
messagerie du destinataire, un rapport de non-remise (NDR), également appelé message de rejet, est envoyé à
l'expéditeur présumé (une adresse courriel utilisée faussement comme étant l'expéditeur du pourriel original) qui
n'est pas l'expéditeur réel du pourriel. Le propriétaire de l’adresse de courriel reçoit un rapport de non-remise,
même s’il n’a pas été impliqué dans le pourriel d’origine. C’est là que la protection contre la rétrodiffusion entre
en jeu. Vous pouvez empêcher la distribution des rapports de non-remise aux boîtes de courriels des utilisateurs
au sein de votre organisation à l'aide de la protection contre la rétrodiffusion de ESET Mail Security.
124
Lorsque vous activez la vérification des rapports de non-remise, vous devez spécifier l'amorce de signature (une
chaîne d'au moins 8 caractères, par exemple, une phrase secrète). La protection contre la rétrodiffusion de ESET
Mail Security inscrit X-Eset-NDR: <hash> dans l'en-tête de chaque courriel sortant. La protection contre la
rétrodiffusion de PN inscrit X-Eset-NDR: <hash> dans l'en-tête de chaque courriel sortant. <hash> est une
signature chiffrée qui contient également l'amorce de signature que vous avez spécifiée.
Si un courriel légitime ne peut pas être remis, votre serveur de messagerie reçoit généralement un rapport de
non-remise, qui est vérifié par ESET Mail Security à la recherche du symbole X-Eset-NDR: <hash> dans les entêtes. Si X-Eset-NDR: est présent et que la signature <hash> correspond, le rapport de non-remise est envoyé à
l'expéditeur du message électronique légitime indiquant que la remise du message a échoué. Si Eset-NDR: n'est
pas présent ou si la signature <hash> est incorrecte, alors il s'agit d'une rétrodiffusion de pourriel et le rapport de
non-remise est rejeté.
Supprimer automatiquement les rapports de non-remise en cas d'échec de la vérification
Si la vérification du rapport de non-remise échoue immédiatement, le courriel peut être rejeté avant qu'il ne soit
téléchargé.
Vous pouvez consulter l'activité de la Protection contre la rétrodiffusion dans le Journal de protection SMTP.
Protection contre l’usurpation d’identité de
l’expéditeur
L'usurpation de l'identité de l'expéditeur d'un courriel est une pratique courante qui consiste pour un pirate à
falsifier le nom ou l'adresse de courriel de l'expéditeur afin de tromper le destinataire. Pour le destinataire du
courriel, il est impossible de distinguer un tel courriel mystifié d'un courriel authentique, ce qui constitue un
risque. L'escroquerie au faux ordre de virement (le pirate usurpe l’identité du chef de la direction de l'entreprise)
est un type de mystification de l’expéditeur courant.
Le fait que les employés ne remettraient pas en question ces courriels permet au pirate de réussir. L’identité du
chef de la direction de l’entreprise n'est pas la seule visée. L'usurpation d'identité de l'expéditeur vise souvent
n'importe quel expéditeur qui existe réellement, généralement une personne de l'Active Directory de votre
organisation. Un courriel mystifié semble alors très convaincant pour un destinataire sans méfiance, gagnant
facilement sa confiance.
ESET Mail Security vous protège contre l'usurpation de l'identité de l'expéditeur du courriel. La protection contre
la mystification de l’expéditeur utilise plusieurs méthodes pour vérifier si les informations de l’expéditeur sont
valides.
La protection contre la mystification de l’expéditeur examine le domaine contenu dans le champ « De : » d’entête de courriels et l’expéditeur de l’enveloppe, puis compare le domaine trouvé avec les listes de domaines. Si le
domaine est différent, le message est considéré comme valide (non mystifié) et est traité par d’autres couches de
protection de ESET Mail Security. Toutefois, si le domaine correspond à un domaine de la liste, il s'agit peut être
d'un courriel mystifié et nécessite une vérification plus approfondie.
En fonction du réglage, une vérification supplémentaire est effectuée : la vérification SPF. L'adresse IP de
l'enveloppe est vérifiée par rapport à des listes d'adresses IP, ou le message est automatiquement considéré
comme usurpé. Si le résultat de la vérification SPF est réussi ou si l’adresse IP de l’enveloppe correspond à une
adresse IP de la liste, le message est valide; sinon, il s'agit d'un message mystifié. Une mesure doit être prise
lorsque le message est mystifié.
125
Vous pouvez utiliser la protection contre la mystification de l’expéditeur de deux façons :
• Activez la protection contre la mystification de l’expéditeur, configurez ses paramètres et spécifiez
éventuellement des domaines et des listes IP. L'action par défaut appliqué aux courriels mystifiés est la mise
en quarantaine du message. Pour modifier les mesures à prendre, accédez aux paramètres avancés de la
protection du transport du courriel.
• Utilisez les règlesde protection du transport du courriel : résultat de SPF - champ FROM de l'entête ou
résultat de la comparaison de l'expéditeur de l’enveloppe et le champ FROM de l'entête avec une action
de votre choix. Les règles vous fournissent plus d’options et de combinaisons si vous souhaitez adopter un
comportement précis lorsque des courriels mystifiés sont reçus.
Lorsque la Protection contre l’usurpation d’identité de l’expéditeur est utilisée, ou si une action de règle de type
Inscrire au journal des événements est spécifié, tous les messages qui ont été évalués par la Protection contre
l’usurpation d’identité de l’expéditeur sont enregistrés dans les fichiers journaux. De même, vous pouvez trouver
des courriels mystifiés dans le dossier de quarantaine de messagerie lorsqu’une action est définie sur Mettre les
messages en quarantaine dans la Protection du transport de messagerie ou définie dans les règles.
Activer la protection contre l’usurpation d’identité de l’expéditeur
Activez la protection contre la mystification de l’expéditeur pour empêcher les attaques par courriel qui tentent
d’induire les destinataires en erreur quant à l’origine du message (mystification de l'expéditeur).
Activer les courriels entrants avec mon propre domaine dans l’adresse de l’expéditeur
Cette option permet d'effectuer une vérification supplémentaire sur les messages qui contiennent votre propre
domaine dans le champ d’en-tête de courriel "From:" ou sur l’expéditeur de l’enveloppe (qui est soupçonné de
mystification) :
• Uniquement en cas de réussite de la vérification SPF - suppose que SPF est activé. Si la vérification SPF
réussie, le message est considéré comme valide et transmis. Si la vérification SPF échoue, le message est une
mystification (l’action est entreprise). Vous pouvez également choisir de rejeter automatiquement les
messages si la vérification SPF échoue.
• Uniquement lorsque l’adresse IP figure sur la liste des adresses IP de l’infrastructure : Compare l’adresse
IP de l'enveloppe à celles des listes d'adresses IP (une liste de vos propres adresses IP et la liste des adresses
IP ignorées marquée comme faisant partie de l’infrastructure interne). S'il y a une correspondance, le
message est valide et est transmis. S'il n'existe aucun correspondance, le message est une mystification et
une action est entreprise.
• Jamais – si un message entrant contient votre propre domaine dans le champ « De : » de l’en-tête de
courriel ou de l'expéditeur de l’enveloppe, il est automatiquement considéré comme mystifié sans aucune
vérification supplémentaire. Une action est prise avec le message « Consultez la protection du transport de
messagerie pour connaitre les options d’action ».
Charger automatiquement mes propres domaines à partir de la liste des domaines acceptés
Nous vous recommandons fortement d’activer cette option pour maintenir le plus haut niveau de protection. De
cette façon, les domaines et les adresses IP de votre infrastructure seront pris en compte lors de l’évaluation par
la protection contre la mystification de l’expéditeur.
Liste de mes propres domaines
126
Ces domaines sont considérés comme les vôtres. Ajoutez des domaines qui seront utilisés pendant l’évaluation,
en plus des domaines chargés automatiquement à partir de votre liste Active Directory. Les domaines de
l’expéditeur seront comparés aux domaines de ces listes. S'il n'y a aucune correspondance, le message est valide.
S'il y a une correspondance, une vérification plus approfondie est effectuée en fonction du paramètre Activer les
courriels entrants avec mon propre domaine dans l’adresse de l’expéditeur.
Liste de mes propres adresses IP
Adresses IP jugées fiables. Ajoutez des adresses IP qui seront utilisées pendant l’évaluation, en plus des adresses
IP de la liste des adresses IP ignorées marquée comme faisant partie de l’infrastructure interne. L’adresse IP de
l’enveloppe de l’expéditeur est comparée aux adresses IP de ces listes. S'il existe une correspondance avec
l’adresse IP de l’enveloppe, le message est valide. S'il n'existe aucun correspondance, le message est une
mystification et une action est entreprise.
Protection antihameçonnage
L'hameçonnage désigne une activité dont le but est d'obtenir des informations sensibles telles que les noms
d'utilisateur, les mots de passe, les numéros de compte bancaires ou de carte de crédit par courriels ou par des
pages Web déguisées en une entité digne de confiance. Cette activité est généralement effectuée pour des
raisons malveillantes. Il s'agit d'une forme de piratage psychologique (manipuler les utilisateurs afin d’obtenir des
informations confidentielles).
ESET Mail Security comprend une protection antihameçonnage qui empêche les utilisateurs d'accéder à des pages
Web connues comme hameçons. Dans le cas des courriels contenant des liens menant à des pages Web
d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui effectue des recherches dans le corps et
dans l'objet des courriels entrants afin de répérer les liens dangereux (URL).
Les liens sont comparés à une base de données d'hameçonnage. Si le résultat de l'évaluation est positif, le courriel
est considéré comme un message d'hameçonnage et ESET Mail Security le traite en fonction du paramètre Action
à entreprendre sur un message d’hameçonnage pour chaque couche de protection (Protection du transport du
courriel, Protection de la base de données de boîtes de courriels et Analyse de la base de données de boîtes de
courriels à la demande). Les actions de règle sont également exécutées.
Normes de format de courriel prises en charge :
• Texte brut
• HTML seulement
• MIME
• MIME à plusieurs parties (un courriel contenant à la fois un élément HTML et un élément de texte brut)
ESET Mail Security peut détecter les URL contenant des homoglyphes codés en Punycode. Cela signifie qu'un email avec une URL falsifiée ressemblant à celle d'une banque, d'une compagnie d'assurance ou d'un détaillant
bien connu voit certaines de ses lettres remplacées par des lettres similaires d'un alphabet différent, afin de
tromper l'utilisateur et de lui faire croire qu'il est légitime. Ce type d'e-mail est considéré comme de
l'hameçonnage.
Entités HTML prises en charge :
Les messages d'hameçonnage peuvent contenir des entités HTML afin de se cacher au moteur antihameçonnage.
127
La protection antihameçonnage analyse et traduit également les symboles HTML afin de trouver et évaluer
correctement les URL obscurcies.
Un seul caractère peut être représenté sous différentes formes. Par exemple, une période peut être représentée
sous les formes suivantes :
Les liens que contiennent le courriel tel que l'utilisateur les voit
Valeur
Liens masqués contenus dans le corps du message
Type
http://www.example-phishing-domain.com/Fraud
.
http://www.example-phishing-domain.com/Fraud
caractère
http://www.example-phishing-domain.com/Fraud
.
http://www.example-phishing-domain.com/Fraud
nom d'entité
http://www.example-phishing-domain.com/Fraud
.
http://www.example-phishing-domain.com/Fraud
numéro hexadécimal de l'entité
http://www.example-phishing-domain.com/Fraud
.
http://www.example-phishing-domain.com/Fraud
numéro décimal de l'entité
Pour voir l’activité de protection du courriel contre le hameçonnage, accédez à Fichiers journaux > Journal de
protection du serveur de messagerie. Le journal contient des informations sur les e-mails et leurs liens
d'hameçonnage.
Signaler un site d'hameçonnage
Vous pouvez cliquer sur Signaler pour informer ESET d’un site Web d’hameçonnage ou malveillant.
Règles
Les règles vous permettent de définir manuellement les conditions de filtrage des courriels et les actions à
entreprendre pour les courriels filtrés. Vous pouvez également définir des conditions et des actions différentes de
façon individuelle pour la protection du transport du courriel, la protection de la base de données de la boîte de
courriels et l'analyse de la base de données de boîtes de courriels à la demande. Cela est utile, car chaque type de
protection utilise une approche légèrement différente lors du traitement des messages, en particulier la
protection du transport du courriel.
La disponibilité des règles pour la protection de base de données de boîtes de courriels, l'analyse de la base
de données de boîtes de courriels à la demande et la protection du transport du courriel dans votre
système dépend de la version de Microsoft Exchange Server installée sur le serveur avec ESET Mail
Security.
Des règles pour l'analyse de la base de données de boîtes de courriels à la demande mal définies peuvent
entraîner des modifications irréversibles dans les bases de données de boîtes courriels. Assurez-vous
toujours d'avoir les sauvegardes les plus récentes de vos bases de données de boîtes de courriels avant
d'exécuter l'analyse de la base de données de boîtes de courriels à la demande avec des règles en place
pour la première fois. Nous vous recommandons vivement de vérifier que les règles fonctionnent
conformément à vos attentes. Pour vérification, définissez des règles avec l'action Journaliser aux
événements uniquement, car toute autre action peut apporter des modifications à vos bases de données
de boîtes aux lettres. Lorsque vous êtes satisfait de la vérification, vous pouvez ajouter des actions de règle
de destruction telles que Supprimer la pièce jointe.
Les règles sont classées en trois niveaux et sont évaluées dans l'ordre suivant :
• Règles de filtrage : (1) évaluées avant l'analyse antipourriel, antihameçonnage et antivirus
• Règles de traitement des pièces jointes : (2) évaluées lors d’une analyse antivirus
• Règles de traitement des résultats : (3) évaluées après l'analyse antipourriel, antihameçonnage et
antivirus
Les règles ayant le même niveau d'évaluation sont évaluées dans l'ordre affiché dans la fenêtre des règles. Vous
128
ne pouvez modifier l’ordre que pour les règles de même niveau. Lorsque vous avez plusieurs règles de filtrage,
vous pouvez modifier l'ordre dans lequel elles sont appliquées. Vous ne pouvez pas modifier leur ordre en plaçant
des règles de traitement des fichiers joints avant des règles de filtrage - les flèches de déplacement vers le
haut/vers le bas ne seront pas disponibles. Vous ne pouvez pas mélanger les règles appartenant à des Niveaux
différents.
La colonne Occurrences indique le nombre de fois que la règle a été appliquée avec succès. Décocher une case
(qui se trouve à gauche de chaque nom de règle) désactive la règle correspondante jusqu'à ce que vous cochiez la
case de nouveau.
Cliquez sur Réinitialiser pour réinitialiser le compteur de la règle sélectionnée (la colonne Occurrences).
Sélectionnez Afficher pour afficher une configuration attribuée à partir de la politique de ESET PROTECT.
Normalement, si les conditions d'une règle sont remplies, l'évaluation des règles s'arrête pour de nouvelles
règles de priorité inférieure. Cependant, si cela est nécessaire, vous pouvez utiliser l'action de règle
spéciale appelée Évaluer d'autres règles pour continuer l'évaluation.
Les règles sont vérifiées par rapport à un message lorsqu'il est traité par la protection de transport du courriel, la
protection de base de données de boîtes de courriels ou l'analyse de la base de données de boîtes de courriels à
la demande. Chaque couche de protection a un ensemble de règles distinct.
Lorsque la protection de base de données de boîtes de courriels ou les conditions de règle d'analyse de la base de
données de boîtes de courriels à la demande sont mises en correspondance, le compteur de règles peut
augmenter de 2 ou plus. En effet, ces couches de protection accèdent séparément au corps et aux pièces jointes
d'un message, de sorte que des règles sont appliquées à chaque partie individuellement. Les règles de protection
de la base de données de boite de courriels sont aussi appliquées pendant l'analyse en arrière-plan (par exemple
lorsque ESET Mail Security exécute une analyse de la boîte de courriels après le téléchargement d’un nouveau
moteur de détection), ce qui peut incrémenter le compteur de la règle.
129
Assistant de configuration des règles
1. Cliquez sur Ajouter (au milieu) et une fenêtre Condition de la règle s'affiche dans laquelle vous pouvez
sélectionner un type de conditions, d'opérations et de valeurs. Définissez d'abord la ou les Conditions, ensuite
la ou les Actions.
Vous pouvez définir plusieurs conditions. Si vous définissez plusieurs conditions, toutes les conditions
doivent être remplies pour que la règle soit appliquée. Toutes les conditions sont connectées en utilisant
l'opérateur logique ET. Même si la plupart des conditions sont remplies et qu'une seule ne l'est pas, la
condition est considérée comme non remplie et l'action de la règle ne peut être effectuée.
2. Cliquez sur Ajouter (en bas) pour ajouter une action de règle.
Vous pouvez ajouter plusieurs actions pour une règle.
3. Lorsque les conditions et les actions sont définies, saisissez un nom pour la règle (un nom que vous pourrez
reconnaitre facilement). Le nom s’affichera dans la liste des règles. Nom est un champ obligatoire : s'il est
surligné en rouge, tapez le nom de la règle dans la zone de texte et cliquez sur OK pour créer la règle. La mise
en évidence en rouge ne disparaît pas, même si vous avez entré le nom d'une règle; elle disparaîtra une fois
que vous aurez cliqué sur OK.
4. Si vous souhaitez préparer les règles, mais que vous planifiez les utiliser plus tard, vous pouvez cliquer sur
l'interrupteur situé à côté de l'élément Active pour désactiver la règle. Pour activer une règle, cochez la case à
côté de la règle que vous souhaitez activer.
130
Si une nouvelle règle est ajoutée ou si une règle existante est modifiée, une nouvelle analyse des messages
commencera automatiquement en utilisant les nouvelles règles ou les règles modifiées.
Reportez-vous aux exemples de règles pour savoir comment vous pouvez utiliser les règles.
Condition de la règle
L'assistant de condition des règles vous permet d'ajouter des conditions à une règle. Sélectionnez le type de
condition et une opération dans le menu déroulant. La liste des opérations change en fonction du type de règle
que vous avez choisi. Sélectionnez ensuite un paramètre. Les champs Paramètres changeront en fonction du type
et de la fonction de la règle.
Choisissez par exemple Taille de fichier > est supérieur à , puis, sous Paramètre, spécifiez 10 Mo. Avec ces
paramètres, un fichier dont la taille est supérieure à 10 Mo est traité à l'aide des actions de règle que vous avez
spécifiées. C'est pourquoi vous devez spécifier l'action à entreprendre lorsqu'une règle donnée est déclenchée, si
vous ne l'avez pas déjà fait lors de la définition des paramètres de cette règle.
Si vous souhaitez importer votre liste personnalisée à partir d'un fichier au lieu d'ajouter des entrées
manuellement, cliquez avec le bouton droit de la souris dans le milieu de la fenêtre et sélectionnez Importer dans
le menu contextuel. Ensuite, vous pouvez rechercher le fichier (.xml ou .txt, et contenant des entrées délimitées
par de nouvelles lignes) que vous souhaitez ajouter à la liste. De même, si vous devez exporter votre liste
existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
Vous pouvez également spécifier une expression régulière, puis sélectionner l'opération : Correspond à
l'expression régulière ou Ne correspond pas à l'expression régulière.
ESET Mail Security utilise std::regex. Reportez-vous à la syntaxe ECMAScript pour construire des
expressions régulières. La syntaxe des expressions régulières n'est pas sensible à la casse, y compris les
résultats de la recherche.
Vous pouvez définir plusieurs conditions. Si vous définissez plusieurs conditions, toutes les conditions
doivent être remplies pour que la règle soit appliquée. Toutes les conditions sont connectées en utilisant
l'opérateur logique ET. Même si la plupart des conditions sont remplies et qu'une seule ne l'est pas, la
condition est considérée comme non remplie et l'action de la règle ne peut être effectuée.
Les types de conditions suivants sont disponibles pour la protection du transport du courriel, la protection de
base de données de boîtes de courriels et l'analyse de la base de données de boîtes de courriels à la demande
(certaines options pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées précédemment) :
Nom de la condition
Description
Objet
S'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression régulière) dans l'objet.
Expéditeur
S'applique aux messages envoyés par un expéditeur spécifique.
Expéditeur de l’enveloppe (expéditeur
SMTP)
Attribut d’enveloppe MAIL FROM utilisé pendant la connexion SMTP, également utilisé pour la vérification SPF.
Adresse IP de l'expéditeur
S'applique aux messages envoyés à partir d'une adresse IP spécifique. Lors de l'ajout d'une nouvelle adresse en tant que condition, IPv4 et IPv6
sont acceptés.
Domaine de l’expéditeur de
l'enveloppe/Domaine de l’expéditeur
S'applique aux messages provenant d'un expéditeur ayant un domaine spécifique dans ses adresses courriels.
Domaine de l'expéditeur SMTP
S'applique aux messages provenant d'un expéditeur ayant un domaine spécifique dans ses adresses courriels.
Entête De - adresse
"From:" valeur contenue dans les entêtes de message. Il s'agit de l'adresse qui est visible pour le destinataire, mais aucune vérification n'est faite
que le système expéditeur est autorisé à envoyer au nom de cette adresse. Elle est souvent utilisée pour usurper l'identité de l'expéditeur.
Entête De - nom d'affichage
"From:" valeur contenue dans les entêtes de message. Ce nom d'affichage est visible pour le destinataire, mais aucun contrôle n'est effectué pour
s'assurer que le système d'envoi est autorisé à envoyer au nom de cette adresse. Elle est souvent utilisée pour usurper l'identité de l'expéditeur.
Destinataire
S'applique aux messages envoyés à un destinataire spécifique.
Unités organisationnelles du destinataire S'applique aux messages envoyés à un destinataire appartenant à une unité d'organisation spécifique.
Résultat de la validation du destinataire
131
S'applique aux messages envoyés à un destinataire validé dans Active Directory.
Nom de la condition
Description
Nom de la pièce jointe
S'applique aux messages contenant des pièces jointes avec un nom spécifique. Cela inclut les fichiers contenus dans une archive.
Évaluer uniquement pour la pièce jointe de niveau supérieur : Lorsque cette option est activée, les fichiers contenus dans une archive ne seront
pas évalués.
Utiliser le chemin complet pour les objetscontenus dans une pièce jointe : Lorsque cette option est activée, le chemin complet de l’objet sera
évalué et pas seulement le nom du fichier.
Taille de la pièce jointe
S'applique aux messages ayant une pièce jointe dont la taille ne correspond pas à une taille spécifiée, se trouve dans un intervalle de tailles
spécifiées ou excède une taille spécifiée.
Type de pièce jointe
S'applique aux messages avec un type de pièce jointe spécifique. Les types de fichiers sont classés en groupes pour faciliter leur sélection. Vous
pouvez sélectionner plusieurs types de fichier ou des catégories entières. ESET Mail Security détecte le type de fichier réel, peu importe
l’extension. Il en va de même pour le contenu d’une archive.
Évaluer uniquement pour la pièce jointe de niveau supérieur : Lorsque cette option est activée, les fichiers contenus dans une archive ne seront
pas évalués.
La condition de règle Type de pièce jointe comporte une limitation connue; en effet, le moteur de détection de ESET Mail Security ne peut
pas détecter les très petits fichiers texte d'une longueur inférieure à 10 octets en codage ASCII/ANSI.
Taille du message
S'applique aux messages dont la taille des pièces jointes ne correspondent pas à une taille spécifique, se trouvent entre deux tailles spécifiques ou
excèdent un taille spécifique.
Boîte de réception
S'applique aux messages se trouvant dans une boîte de courriel spécifique.
Titres des messages
S'applique aux messages avec des données spécifiques dans leur en-tête.
Corps de message
La phrase spécifiée est recherchée dans le corps du message. Vous pouvez utiliser la fonctionnalité Supprimer les balises HTML pour supprimer les
balises HTML, les attributs et les valeurs et conserver uniquement le texte. La recherche se fera alors dans le corps du texte.
Message interne
S'applique selon qu'un message est interne ou non interne.
Message sortant
S'applique aux messages sortants.
Message signé
S'applique aux messages signés.
Message chiffré
S'applique aux messages chiffrés
Résultat de l'analyse antipourriel
S'applique aux messages signalés ou non comme pourriel ou comme courriel légitime.
Résultat de l'analyse antivirus
S'applique aux messages signalés comme étant malveillants ou non malveillants.
Résultat de l'analyse antihameçonnage
S'applique aux messages considérés comme hameçons à la suite de l'évaluation.
Heure de réception
S'applique aux messages reçus avant ou après une date spécifique ou entre deux dates spécifiques.
Contient une archive protégée par un
mot de passe
S'applique aux messages avec des pièces jointes d'archives qui sont protégées par un mot de passe.
Contient une archive endommagée
S’applique aux messages dont les pièces jointes d’archive sont endommagées (très probablement impossibles à ouvrir).
La pièce jointe est une archive protégée
par mot de passe
S’applique aux pièces jointes protégées par mot de passe.
La pièce jointe est une archive
corrompue
S'applique aux pièces jointes sont endommagées (très probablement impossibles à ouvrir).
Nom du dossier
S'applique aux messages contenus dans une dossier spécifique. Si le dossier n’existe pas, il sera créé. Cela ne s'applique pas aux dossiers publics.
DKIM résultat
S'applique aux messages dont la vérification par DKIM a réussie ou a échoué, autrement si non disponible.
SPF résultat
résultat SPF - En-tête De
SPF résultat HELO
S’applique aux messages dont le résultat d’évaluation SPF (Sender Policy Framework) est le suivant :
Succès - l'adresse IP est autorisée à effectuer des envois à partir du domaine (qualifiant SPF "+").
Échec - l'enregistrement SPF ne contient pas le serveur d'envoi ni l'adresse IP (qualifiant SPF "-")
Échec récupérable - l'adresse IP peut être ou non autorisée à effectuer des envois à partir du domaine (qualifiant SPF "~").
Neutre - signifie que le propriétaire du domaine a déclaré dans l'enregistrement SPF qu'il ne veut pas affirmer que l'adresse IP est autorisée à
effectuer des envois à partir du domaine (qualifiant SPF "?").
Non disponible : Le résultat SPF None signifie que le domaine n'a publié aucun enregistrement ou qu'aucun domaine d'expéditeur vérifiable n'a pu
être déterminé à partir de l'identité donnée.
Consultez RFC 4408 pour plus de détails à propos de SPF.
Si vous utilisez ce résultat SPF, les listes blanches de la rubrique Filtrage et vérification ne sont pas prises en compte pour les règles.
DMARC résultat
S'applique aux messages dont la vérification par SPF ou par DKIM ou par les deux a réussie ou a échoué, autrement si non disponible.
Dispose d'un enregistrement DNS inversé S'applique aux messages dont le domaine de l'expéditeur possède un enregistrement DNS inversé.
NDR résultat
S'applique aux messages dont la vérification par NDR a échoué.
Résultat de la comparaison entre
l'expéditeur de l'enveloppe et l'en-tête
De
Compare le ou les domaines contenus dans le champ "From:" d’en-tête de courriel et de l’expéditeur de l’enveloppe avec les listes de domaines.
Le type de condition offre les opérations suivantes :
• Chaîne : est, n'est pas, contient, ne contient pas, correspond, ne correspond pas, fait partie de, ne fait pas
partie de, figure sur la liste, ne figure pas sur la liste, correspond à l'expression régulière, ne correspond pas
à l'expression régulière
• Nombre : est inférieur à, est supérieur à, est compris entre
• Texte : contient, ne contient pas, correspond, ne correspond pas
• Date-Heure : est inférieure à, est supérieure à, est comprise entre
• Enum : est, n'est pas, fait partie de, ne fait pas partie de
Si Nom de la pièce jointe ou Type de la pièce jointe est Fichier Microsoft Office, elle est traitée par ESET
Mail Security comme archive. Cela signifie que son contenu est extrait et chaque fichier contenu dans
l'archive de fichiers Office (par exemple .docx, .xlsx, .xltx, .pptx, .ppsx, .potx) est analysé séparément.
132
Si vous désactivez la Protection antivirus dans le menu Configuration ou Paramètres avancés (F5)> Serveur >
Antivirus et anti-logiciel espion pour le transport du courriel et la couche de protection de la base de données
de la boîte de courriels, cela affectera les conditions des règles suivantes :
• Nom de la pièce jointe
• Taille de la pièce jointe
• Type de pièce jointe
• Résultat de l'analyse antivirus
• La pièce jointe est protégée par mot de passe
• La pièce jointe est une archive corrompue
• Contient une archive endommagée
• Contient une archive protégée par un mot de passe
Action de la règle
Vous pouvez ajouter des actions pour les messages et/ou les pièces jointes qui correspondent aux conditions de
la règle.
Vous pouvez ajouter plusieurs actions pour une règle.
La liste des actions disponibles pour la protection du transport des courriels, la protection de base de données
de boîtes de courriels et l'analyse de la base de données de boîtes de courriels à la demande (certaines options
pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées) :
Nom de l'action
Description
Message de quarantaine
Le message ne sera pas livré au destinataire et sera déplacé dans la quarantaine de courriel. Activez l’option Peut être libéré par les utilisateurs
si vous souhaitez autoriser les utilisateurs non-administrateurs à libérer les courriels mis en quarantaine par cette règle (à l’aide de l’interface
Web ou des rapports de quarantaine).
Quarantaine - pièce jointe
Met la pièce jointe du courriel dans la quarantaine des fichiers. Le courriel sera remis au destinataire avec la pièce jointe tronquée à une
longueur nulle.
Supprimer la pièce jointe
Supprime la pièce jointe d'un message. Le message sera livré au destinataire sans pièce jointe.
Rejeter le message
Supprimer un message. Pour les courriels entrants reçus par SMTP, un rapport de non-remise (NDR - Non-Delivery Report) doit être généré par
le serveur d'envoi.
Supprimer le message
silencieusement
Supprime un message sans envoyer de NDR.
Définir la valeur SCL
Change ou définit une valeur spécifique SCL.
Envoyer des notifications
d'événement à l'administrateur
Envoie des notifications d'événements à l'administrateur. Vous devez activer la fonctionnalité Envoyer des notifications d'événement par
courriel. Vous pouvez ensuite personnaliser le format des messages d'événements (utilisez l'infobulle pour des suggestions) tout en créant la
règle. Vous pouvez également sélectionner la verbosité pour les messages d'événements, mais cela dépend de la verbosité minimum définit
dans la section Notifications par courriel.
Envoyer une notification par courriel Envoie des notifications par courriel selon les paramètres que vous avez définis. Spécifiez le destinataire (vous pouvez utiliser la variable
%Recipients% pour envoyer la notification aux destinataires initiaux du courriel). Spécifiez l’expéditeur, l’objet et le format des messages
d’événement (utilisez l’info-bulle pour obtenir des suggestions). Cette action est disponible uniquement pour la protection du transport du
courriel.
Passer l'analyse antipourriel
Le message ne sera pas analysé par le moteur antipourriel.
Passer l'analyse antivirus
Le message ne sera pas analysé par le moteur antivirus.
Ignorer l'analyse antihameçonnage
Le message ne sera pas analysé par la protection anti-hameçonnage.
Ignorer l'analyse ESET LiveGuard
Advanced
Le message ne sera pas validé par la protection ESET LiveGuard Advanced.
Évaluer d'autres règles
Permet l'évaluation d'autres règles, offrant à l'utilisateur la possibilité de définir de multiples ensembles de conditions et d'actions à
entreprendre, en fonction des conditions données.
133
Nom de l'action
Description
Journaliser les événements
Inscrit les renseignements sur la règle appliquée dans le journal du programme et définit le format des messages d'événements (utilisez
l'infobulle pour des suggestions).
Si vous configurez le type d'action Journaliser aux événements pour la Protection de la base de données de la boîte de courriels en utilisant le
paramètre %IPAddress%, la colonne Événement dans les Fichiers journaux sera vide pour cet événement en particulier. La raison est qu'il n'y a
aucune adresse IP au niveau de la Protection de la base de données de la boîte de courriels. Certaines options ne sont pas disponibles à tous les
niveaux de protection :
%IPAddress% - Ignorée par l'Analyse de la base de données de boîtes de courriels à la demande et la Protection de base de données de boîtes de
courriels.
%Mailbox% - Ignorée par la Protection du transport du courriel.
Les options suivantes s'appliquent uniquement aux règles de traitement des pièces jointes :
%Attname% - ignoré par les règles de filtrage et les règles de traitement des résultats.
%Attsize% - ignoré par les règles de filtrage et les règles de traitement des résultats.
Ajouter un champ d'en-tête
Aoute une chaîne personnalisée à l'en-tête du message.
Ajouter un préfixe d'objet
Ajouter un préfixe à l'objet
Remplacer la pièce jointe selon
l'action recommandée
Remplace la pièce jointe par un fichier texte qui contient des informations détaillées sur une action entreprise.
Supprimer les champs d'en-tête
Supprime les champs de l'en-tête du message en fonction des paramètres spécifiés.
Supprimer le message
Supprime le message infecté.
Déplacer le message vers le dossier
Le message sera déplacé dans le dossier spécifique.
Déplacer le message dans la
corbeille
Place un courriel dans la corbeille du côté du client de messagerie.
Appliquer la politique DMARC
Si la condition du résultat DMARC est remplie, le message électronique est traité conformément à la politique spécifiée dans l'enregistrement
DNS DMARC pour le domaine de l'expéditeur.
Si vous désactivez la Protection antivirus dans le menu Configuration ou Paramètres avancés (F5) > Serveur >
Antivirus et anti-logiciel espion pour la protection de transport des courriels, cela affectera les actions des règles
suivantes :
• Quarantaine - pièce jointe
• Supprimer la pièce jointe
Exemples de règles
Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce jointe
protégée par mot de passe, endommagée ou chiffrée
Objectif: Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce jointe
protégée par mot de passe, endommagée ou chiffrée
Créer la règle suivante pour la protection du transport du courriel :
Condition
• Type : Résultat de l'analyse antivirus
• Opération : n'est pas
• Paramètre : Nettoyer
Action
Type : Message de quarantaine
Déplacer les messages dont la vérification SPF a échoué dans un dossier indésirable
134
Objectif: Déplacer les messages dont la vérification SPF a échoué dans un dossier indésirable
Créer la règle suivante pour la protection du transport du courriel :
Condition
• Type : Résultat SPF
• Opération : est
• Paramètre : Échec
Action
• Type : Définir la valeur SCL
• Valeur : 5
Définissez la valeur en fonction du paramètre SCLJunkThreshold de la cmdlet Get-OrganizationConfig de
votre serveur Exchange. Pour plus de détails, consultez l'article Actions seuils SCL
Vérifier les courriels qui semble être des mystifications de l’expéditeur
Objectif: Vérifier les courriels qui semble être des mystifications de l’expéditeur. Si le message contient
votre propre domaine dans le champ « De : » de l’en-tête de courriel ou de l’expéditeur de l’enveloppe,
effectuez une vérification supplémentaire à l'aide de SPF. Si le résultat de la vérification SPF est neutre,
mettez en quarantaine le message, inscrivez-le au journal des événements et avertissez l’administrateur.
Condition
• Type : Résultat de la comparaison entre l'expéditeur de l'enveloppe et l'en-tête De
• Opération : est
• Paramètre : Correspondance
• Type : résultat SPF - En-tête De
• Opération : est
• Paramètre : Neutre
Action
Type : Mettre le message en quarantaine, Inscrire au journal des événements et Envoyer une notification
d’événement à l’administrateur
Supprimer les messages provenant d'expéditeurs spécifiques
Objectif: Supprimer les messages provenant d'expéditeurs spécifiques
Créer la règle suivante pour la protection du transport du courriel :
Condition
• Type : Expéditeur
• Opération : est / est l'un de
• Paramètre : spammer1@domain.com, spammer2@domain.com
Action
Type : Supprimer le message silencieusement
Liste des adresses IP bloquées
135
Objectif: Message de mise en quarantaine d’une adresse IP de la liste des adresses IP bloquées; informer
l’administrateur et enregistrer l’événement.
Détails : Si un courriel émane d'une adresse IP figurant sur la liste des adresses IP bloquées, <%PM%>
mettra le message en quarantaine et vous en informera par courriel. Vous pouvez ensuite libérer le
message de la quarantaine ou le supprimer définitivement. Dans le cas contraire, <%PM%> ne transmet pas
le message et n'offre aucune possibilité d'action.
Ouvrir Protection du transport de messagerie
Condition
• Type : Adresse IP de l'expéditeur
• Opération : Figure dans la liste
• Liste Liste des adresses IP bloquées
Action
Type : Mettre le message en quarantaine, Inscrire au journal des événements et Envoyer une notification
d’événement à l’administrateur
Personnaliser la règle prédéfinie
Objectif: Personnaliser la règle prédéfinie
Détails : Autorisez les pièces jointes d'archive dans les messages provenant d'adresses IP spécifiées (dans le
cas de systèmes internes, par exemple) lors de l'utilisation de la règle de pièces jointes de fichiers
d'archives interdites
Ouvrez l'ensemble de règles Protection du transport du courriel, sélectionnez Pièces jointes au fichier
d'archives interdites et cliquez sur Modifier.
Condition
• Type : Adresse IP de l'expéditeur
• Opération : n'est pas/n'est aucun
• Paramètre : 1.1.1.2, 1.1.1.50-1.1.1.99
Corps de message
Objectif: Mettre en quarantaine les messages qui contiennent certaines chaînes dans le corps du message
Créer la règle suivante pour la protection du transport du courriel :
Condition
• Type : Corps de message
• Opération : contient/contient l'un des, cliquez sur Ajouter et tapez l'URL du site Web ou une partie de
l'URL
Action
Type : Message de quarantaine
Stocker les messages des destinataires non existants
Objectif: Stocker les messages des destinataires non existants
Détails : Si vous souhaitez mettre en quarantaine tous les messages dont les destinataires n'existent pas
(indépendamment du marquage de la protection antivirus ou antipourriel)
Condition
• Type : Résultat de la validation du destinataire
• Opération : est
• Paramètre : Contient un destinataire invalide
Action
Type : Message de quarantaine
136
Protection du transport de messagerie
Vous pouvez configurer des actions pour les menaces détectées sur la couche de transport pour chaque module
de ESET Mail Security (Antivirus, Antihameçonnage et Antipourriel) séparément.
Action à entreprendre si le nettoyage est impossible.
• Aucune action : Pour conserver les messages infectés ne pouvant pas être nettoyés.
• Message en quarantaine : Placez les messages infectés dans la boîte aux lettres de quarantaine.
• Rejeter le message : Pour rejeter un message infecté.
• Supprimer le message silencieusement : Pour supprimer les messages sans envoyer de rapport de nonremise.
Si vous sélectionnez Aucune action et en même temps mettez le niveau de nettoyage à Aucun nettoyage
dans les paramètres de l'antivirus et anti-logiciel espion ThreatSense, alors l'état de la protection prendra la
couleur jaune. En effet, il existe un risque de sécurité et nous ne recommandons pas d'utiliser cette
combinaison. Modifiez l’un ou l’autre paramètre pour obtenir la meilleure protection.
Action à prendre avec un message d’hameçonnage :
• Aucune action : Conservez les messages.
• Message en quarantaine : Placez les messages marqués comme hameçonnage dans la boîte aux lettres de
quarantaine.
• Rejeter le message : pour rejeter les messages marqués comme hameçonnage.
• Supprimer le message silencieusement : Pour supprimer les messages sans envoyer de rapport de nonremise.
Action à entreprendre sur les pourriels :
• Aucune action : Conservez les messages.
• Message en quarantaine : Placez les messages marqués comme étant du pourriel dans la boîte aux lettres
de quarantaine.
• Rejeter le message : Pour rejeter les messages marqués comme pourriel.
• Supprimer le message silencieusement : Pour supprimer les messages sans envoyer de rapport de nonremise.
Action à exécuter sur les messages dont le domaine est usurpé :
• Aucune action : Conservez les messages.
• Mettre le message en quarantaine : Placer les messages marqués comme mystifiés dans la boîte de
courriel de mise en quarantaine.
137
• Rejeter le message : Rejeter les messages marqués comme mystifiés.
• Supprimer le message silencieusement : Pour supprimer les messages sans envoyer de rapport de nonremise.
Enregistrer une copie des pièces jointes nettoyées et supprimées dans la quarantaine de messages
Une copie de la pièce jointe d’origine sera stockée dans le dossier de quarantaine de courriels.
Utiliser du texte personnalisé pour remplacer les pièces jointes supprimées
Lorsque cette option est activée, vous pouvez spécifier du texte personnalisé qui remplace les pièces jointes
supprimées.
Format du texte utilisé pour remplacer les pièces jointes supprimées
Remplace la pièce jointe par un fichier texte qui contient des informations détaillées sur une action entreprise.
Lorsque le paramètre ci-dessus est activé (Utiliser du texte personnalisé), vous pouvez modifier le texte par
défaut avec vos détails personnalisés à l’aide de variables si vous le souhaitez.
138
Utiliser des variables lors de la personnalisation du texte qui sera utilisé en tant que remplacement pour les
pièces jointes supprimées dans un courriel.
%PRODUCTNAME%
%FILENAME%
%VIRUSNAME%
%DETECTIONNAME%
%FILESIZE%
%SENDERADDRESS%
%FROMADDRESS%
%DATETIME%
La pièce jointe %FILENAME%, d’une taille de %FILESIZE%, a été supprimée par %PRODUCTNAME% pour la
raison suivante : %DETECTIONNAME%.
Le format de texte personnalisé aura la sortie visible suivante :
La pièce jointe eicar_com.zip, d’une taille de 184 o, a été supprimée par ESET Mail Security en raison du
fichier Eicar test.
L'option Ajouter une étiquette au corps des messages analysés offre trois options :
• Ne pas ajouter aux messages : Les renseignements ne seront pas ajoutés.
• Ajouter aux messages infectés seulement : Affecte uniquement les messages infectés.
• Ajouter à tous les messages (ne s'applique pas aux messages internes) - Tous les messages seront
marqués.
Modifier l'objet
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés, des
pourriels ou des messages de hameçonage.
Modèle ajouté à l'objet des messages infectés
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur définie dans la
zone de texte Modèle ajouté à l'objet des messages infectés (le texte prédéfini par défaut est [found threat
%VIRUSNAME%]). Cette modification peut servir à automatiser le filtrage des messages infectés en filtrant les
courriels ayant un objet spécifique, par exemple en utilisant les règles ou encore, du côté du client (si la prise en
charge par le client de messagerie est possible), à placer de tels messages dans un dossier séparé.
Modèle ajouté à l'objet des messages pourriels
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur définie dans la
zone de texte Modèle ajouté à l'objet des pourriels (le texte prédéfini par défaut est [SPAM]). Cette modification
peut servir à automatiser le filtrage du pourriel en filtrant les courriels ayant un objet spécifique, par exemple en
utilisant les règles ou, de manière alternative, du côté du client (si la prise en charge par le client de messagerie
est possible), à placer de tels messages dans un dossier séparé.
Modèle ajouté à l'objet du message de hameçonnage infecté
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur définie dans la
zone de texte Modèle ajouté à l'objet des message de hameçonnage (le texte prédéfini par défaut est [PHISH]).
Cette modification peut servir à automatiser le filtrage du pourriel en filtrant les courriels ayant un objet
spécifique, par exemple en utilisant les règles ou, de manière alternative, du côté du client (si la prise en charge
par le client de messagerie est possible), à placer de tels messages dans un dossier séparé.
139
Vous pouvez utiliser des variables système lorsque vous éditez le texte qui sera ajouté au sujet.
Paramètres avancés du transport du courriel
Vous pouvez personnaliser les paramètres de la protection du transport du courriel.
Analyser également les messages reçus des connexions authentifiées ou internes
Vous pouvez choisir l'analyse à effectuer sur les messages provenant de sources authentifiées ou de serveurs
locaux. L'analyse de tels messages est recommandée, car elle augmente le niveau de protection; elle s'avère par
ailleurs nécessaire si vous utilisez le Microsoft SBS POP3 Connector intégré pour récupérer des courriels
provenant de serveurs POP3 ou de services de messagerie externes (par exemple Gmail.com, Outlook.com,
Yahoo.com, gmx.dem, etc.).
Choisissez un niveau de protection dans le menu déroulant. Nous vous recommandons d'utiliser le paramètre
Protection antivirus (paramètre par défaut), en particulier pour les connexions internes, car il est peu probable
que des messages de hameçonnage ou des pourriels soient diffusés par vos serveurs locaux. Toutefois, vous
pouvez augmenter la protection de Microsoft SBS POP3 Connector en choisissant Protection antivirus et
antihameçonnage ou encore Protection antivirus, antihameçonnage et antipourriel.
Ce paramètre active/désactive la protection antipourriels pour les utilisateurs authentifiés et les
connexions internes. Les courriels provenant de connexions non authentifiées sont toujours analysés,
même si vous sélectionnez Ne pas analyser.
Les messages internes provenant d'Outlook à l'intérieur de l'organisation sont envoyés en TNEF (Transport
Neutral Encapsulation Format). L’antipourriel ne prend pas en charge TNEF. Par conséquent, les courriels
internes au format TNEF ne seront pas analysés à la recherche des pourriels, quel que soit l'état du
paramètre Analyser également les messages reçus de connexions authentifiées ou internes par.
Analyser les messages reçus par ESET LiveGuard Advanced sur des connexions authentifiées ou internes
Lorsque ce paramètre est activé, les messages reçus par ESET LiveGuard Advanced provenant des connexions
authentifiées ou internes sont également analysés. Ce paramètre n’est disponible que si vous pouvez avoir ESET
LiveGuard Advanced avec la licence appropriée. La licence ESET LiveGuard Advanced est gérée par ESET PROTECT
et l'activation elle-même doit être effectuée à partir de ESET PROTECT en utilisant une politique.
Supprimer les en-têtes SCL existants avant l'analyse
Cette option est désactivée par défaut. Vous pouvez la désactiver si vous devez utiliser l’en-tête Spam Confidence
Level (SCL).
Écrire les résultats de l'analyse dans les en-têtes de message
Lorsque cette option est activée, les résultats de l'analyse sont écrits dans les en-têtes de message. Ces en-têtes
de message commencent par X_ESET, ce qui les rend faciles à reconnaître (par exemple X_EsetResult ou
X_ESET_Antispam).
Réponse de rejet SMTP
Vous pouvez spécifier un Code de réponse, un Code d'état et un Message de réponse, qui définissent la réponse
de refus temporaire envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire un message de
140
réponse en respectant le format suivant :
Code de réponse
Code d'état
Message de réponse
250
2.5.0
Requête d'action pour le courriel OK, complétée
451
4.5.1
Requête d'action abandonnée : une erreur locale de traitement est survenue
550
5.5.0
Requête d'action non appliquée : la boîte de courriel n'est pas disponible
554
5.6.0
Contenu invalide
Vous pouvez aussi utiliser les variables du système lors de la configuration des Réponses de rejet SMTP.
Protection de la base de données de messagerie
Si l'option Analyse proactive est activée, les nouveaux messages entrants seront analysés dans l'ordre dans lequel
ils ont été reçus. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé,
ce message sera analysé avant les autres messages dans la file d'attente.
Analyse en arrière-plan
L'option Analyse en arrière-plan permet d'analyser tous les messages qui sont exécutés en arrière-plan (l'analyse
est appliquée à la boîte de courriel et à la boutique de dossiers publics, par exemple la base de données
Exchange). Microsoft Exchange Server décide si l'analyse en arrière-plan sera effectuée ou non en fonction de
différents facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange
Server conserve un journal des messages analysés et de la version de la base de données des signatures de virus
utilisée.
Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus
contemporaine, Microsoft Exchange Server envoie le message à ESET Mail Security pour fins d'analyse avant que
le client de messagerie ne l'ouvre. Vous pouvez choisir d'Analyser seulement les messages avec des fichiers
141
joints et de les filtrer en fonction de l'heure de réception. À partir de l'option Limite de temps de l'analyse, vous
pouvez sélectionner une des options suivantes :
• Tous les messages
• Messages reçus au cours de la dernière année
• Messages reçus au cours des 6 derniers mois
• Messages reçus au cours des 3 derniers mois
• Messages reçus au cours du dernier mois
• Messages reçus au cours de la dernière semaine
Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée
après chaque mise à jour du moteur de détection), nous vous recommandons d'utiliser l'analyse planifiée en
dehors des heures de travail. L'analyse en arrière-plan planifiée peut être configurée grâce à une tâche spéciale
dans le Planificateur.
Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez définir l'heure de début, le nombre de
répétitions, ainsi que d'autres paramètres disponibles dans le Planificateur. Une fois la tâche planifiée, elle
s'affichera dans la liste des tâches planifiées. Vous pouvez modifier les paramètres de la tâche, la supprimer ou la
désactiver temporairement.
Nombre de fils d'analyse
Le nombre de fils d'analyse peut être compris entre 1 et 21. Vous pouvez définir le nombre de fils d'analyse
indépendants utilisés en même temps. Un nombre élevé de fils sur des ordinateurs multiprocesseurs augmente la
vitesse d'analyse. Pour optimiser les performances du programme, nous vous conseillons d'utiliser un nombre de
fils d'analyse égal au nombre de moteurs d'analyse ThreatSense.
Analyse des corps des messages en format RTF
Cette option permet l'analyse des corps des messages en format RTF. Les corps des messages en format RTF
peuvent contenir des macrovirus.
Le corps des messages en texte brut ne sera pas analysé par VSAPI.
Action à entreprendre si le nettoyage est impossible.
• Aucune action : Aucune modification ne sera effectuée au message.
• Tronquer à la longueur zéro : La pièce jointe tronquée à une longueur nulle.
• Remplacer le contenu avec des informations d'action : Le corps original sera remplacé par des
informations d'action. Le contenu de la pièce jointe sera remplacé par des informations d'action.
• Supprimer le message : Le message sera supprimé
Action à entreprendre sur un message hameçon :
• Aucune action : Aucune modification ne sera effectuée au message.
142
• Supprimer le message : Le message sera supprimé
Les dossiers publics sont traités de la même manière que les boîtes de courriel. Ce qui veut dire que les
dossiers publics sont aussi analysés.
Analyse en arrière-plan
Ce type de tâche permet d'analyser la base de données à l'aide de VSAPI en arrière-plan. Il permet à votre serveur
Exchange d'exécuter une analyse en arrière-plan si nécessaire. L'analyse est déclenchée par le serveur Exchange
lui-même, ce qui signifie que c'est le serveur Exchange qui décide si l'analyse sera exécutée dans le temps imparti.
Nous vous recommandons d'autoriser l'exécution de cette tâche en dehors des heures de pointe, lorsque votre
serveur Exchange n'est pas occupé, par exemple pendant la nuit. En effet, l'analyse de la base de données en
arrière-plan pourrait augmenter la charge de travail de votre système. En outre, l'intervalle de temps ne devrait
pas coïncider avec celui des sauvegardes qui pourraient être en cours d'exécution sur votre serveur Exchange afin
d'éviter des problèmes de performances ou de disponibilité.
La protection de la base de données de boîte de courriels doit être activée pour que la tâche planifiée
s'exécute. Ce type de protection est seulement offert avec Microsoft Exchange Server 2010 et 2007
fonctionnant dans le Serveur de la boîte de messagerie.
Délai d'attente (heures)
Indique le nombre d'heures pendant lesquelles votre serveur Exchange est autorisé à exécuter l'analyse de la
base de données en arrière-plan à compter du moment où la tâche planifiée est exécutée. Une fois que le délai
expire, Exchange reçoit l'ordre de mettre fin à son analyse en arrière plan.
Analyse de la base de données de boîtes de courriels à
la demande
Si vous exécutez Microsoft Exchange Server 2010, vous pouvez choisir entre Protection de la base de
données de la boîte de courriel et Analyse de la base de données à la demande. Un seul type de protection
peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données de boîte de
courriels à la demande, vous devrez désactiver l'intégration de la Protection de la base de données de la
boîte de courriels dans Configuration avancée (F5) sous Serveur. Sinon l'option Analyse de la base de
données de boîtes de courriels à la demande ne sera pas disponible.
• Adresse de l'hôte - Nom ou adresse IP du serveur qui exécute EWS (Exchange Web Services).
• Nom d’utilisateur : Spécifiez les identifiants d'un utilisateur qui dispose d'un accès approprié à EWS.
• Mot de passe de l'utilisateur - Cliquez Définir à côté de l'élément Mot de passe de l'utilisateur et tapez le
mot de passe pour ce compte.
Pour analyser les dossiers publics, le compte utilisé pour l'analyse de la base de données de boîte de
courriels à la demande doit avoir une boîte de courriels. Sinon, le message Failed to load public folders
apparaitra dans le journal d'analyse de la base de données ainsi qu'un message plus spécifique retourné
par Exchange.
143
Méthode d’accès à la boîte aux lettres : Vous permet de sélectionner votre méthode d’accès à la boîte aux lettres
préférée :
• Emprunt d'identité : Le rôle ApplicationImpersonation est une configuration plus simple et plus rapide qui
doit être assigné au compte d'analyse.
Attribuer le rôle ApplicationImpersonation à un utilisateur
Si cette option n’est pas disponible, vous devez spécifier un nom d’utilisateur. Cliquez sur Assigner pour assigner
automatiquement le rôle Imitationd'uneapplication à l'utilisateur sélectionné. De manière alternative, vous
pouvez assigner le rôle Imitationd'uneapplication manuellement à un compte utilisateur. Une nouvelle stratégie
de limitation EWS illimitée est créée pour le compte utilisateur. Pour en savoir plus, voir les Détails de l'analyse de
la base de données du compte.
• Délégation : utilisez ce type d'accès si vous souhaitez disposer de droits d'accès définis sur des boîtes de
courriels individuelles, mais que vous pouvez fournir des vitesses plus élevées lors de l'analyse de grandes
quantités de données.
Attribuer un accès délégué à un utilisateur
Si cette option n’est pas disponible, vous devez spécifier un nom d’utilisateur. Cliquez sur Attribuer pour
accorder automatiquement à l'utilisateur sélectionné un accès complet à toutes les boîtes de courriels utilisateur
et partagée. Une nouvelle stratégie de limitation EWS illimitée est créée pour le compte utilisateur. Pour en savoir
plus, voir les Détails de l'analyse de la base de données du compte.
Utiliser le protocole SSL
SSL doit être activé si EWS est défini sur Exiger SSL dans IIS. Si le protocole SSL est activé, il faut importer le
certificat Exchange Server dans le système à l'aide de ESET Mail Security (au cas où les rôles serveur Exchange se
trouvent sur différents serveurs). Il est possible d'accéder aux paramètres d'EWS dans IIS, à partir de Sites/Default
website/EWS/SSL Settings.
Désactiver l'option Utiliser le protocole SSL seulement dans le cas où la configuration dans IIS est réglée
pour ne pas exiger le protocole SSL.
Ignorer l'erreur de certificat de serveur
Si vous utilisez un certificat auto-signé, vous pouvez ignorer l'erreur de certificat du serveur.
Certificat client
Doit être défini seulement si EWS exige un certificat client. Cliquez sur Sélectionner pour sélectionner un
certificat.
Action à entreprendre si le nettoyage est impossible - Ce champ d'actions vous permet de bloquer le contenu
infecté.
• Aucune action - Aucune action n'est entreprise contre le contenu infecté du message.
• Déplacer le message dans la corbeille - Cette action n'est pas prise en charge s'il s'agit d'éléments se
trouvant dans le Dossier public. L'action Supprimer l'objet est donc appliquée à la place.
• Supprimer l'objet - Supprime le contenu infecté du message.
144
• Supprimer le message - Supprime l'ensemble du message, y compris le contenu infecté.
• Remplacer l’objet par des informations d’action : Supprime un objet et inclut des informations sur l’objet
qui a été supprimé.
Action recommandée sur les messages d’hameçonnage :
• Aucune action - Pour conserver le message même s'il est marqué comme hameçon.
• Déplacer le message dans la corbeille - Cette action n'est pas prise en charge s'il s'agit d'éléments se
trouvant dans le Dossier public. L'action Supprimer l'objet est donc appliquée à la place.
• Supprimer le message - Supprime l'ensemble du message, y compris le contenu infecté.
Nombre de fils d'analyse
Vous pouvez spécifier le nombre de processus que ESET Mail Security doit utiliser pendant l'analyse de la base de
données. Plus le nombre est élevé, meilleure est la performance. Cependant, une augmentation des
performances utilise plus de ressources. Ajustez ce paramètre à la valeur souhaitée en fonction de vos besoins. La
valeur par défaut est 4 fils d'analyse.
Si vous configurez l'analyse de la base de données de boite de courriels à la demande de manière à utiliser
un nombre de fils élevé, alors la charge devient importante pour votre système, ce qui pourrait ralentir
d'autres processus ou même l'ensemble du système. Vous pourrez recevoir un message d'erreur indiquant
« Nombre de connexions simultanées ouvertes trop élevé ».
Microsoft 365
Visible uniquement si vous disposez d'un environnement hybride Microsoft 365.
Compte utilisateur pour l’analyse d’un dossier public
Si vous souhaitez analyser des dossiers publics, fournissez un nom de compte d’utilisateur principal (mot de passe
non requis) pour l’emprunt d’identité. Assurez-vous que la configuration de ce compte d’utilisateur ait accès à
tous les dossiers publics.
Analyse de la base de données de la boîte de courriels
L'exécution d'une analyse complète de la base de données de courriels dans de grands environnements peut
entraîner des charges système indésirables. Pour éviter ce problème, exécutez une analyse sur des bases de
données ou des boîtes de courriel spécifiques. Réduisez encore l'impact du système serveur en filtrant les cibles
d'analyse à l'aide d'horodatages de message.
145
Des règles pour l'analyse de la base de données de boîtes de courriels à la demande mal définies peuvent
entraîner des modifications irréversibles dans les bases de données de boîtes courriels. Assurez-vous
toujours d'avoir la sauvegarde la plus récente de vos bases de données de boîtes de courriels avant
d'exécuter l'analyse de la base de données de boîtes de courriels à la demande avec des règles en place
pour la première fois. En outre, nous vous recommandons fortement de vérifier que les règles fonctionnent
conformément aux attentes.
Pour des besoins de vérification, définissez des règles avec l'action Journaliser aux événements
uniquement, car toute autre action peut apporter des modifications à vos bases de données de boîtes aux
lettres. Une fois vérifiée, vous pouvez ajouter des actions de règle destructives telles que Supprimer la
pièce jointe.
Les types d'éléments suivants sont analysés à fois dans les dossiers Publics et dans les Boîtes de courriel de
l'utilisateur :
• Courriel
• Publier
• Élément du calendrier (réunions/rendez-vous)
• Tâches
• Contacts
• Journal
À l'aide de la liste déroulante, sélectionnez les messages que vous voulez analyser selon leur estampille horaire.
Par exemple, analyser les messages modifiés au cours de la dernière semaine. Vous pouvez aussi choisir
d'analyser tous les messages au besoin.
Cochez la case à cocher située à côté de l'option Analyser uniquement les messages avec des pièces jointes pour
activer ou désactiver l'analyse des pièces jointes.
Cliquez sur l’icône
et modifiez l’intervalle pour arrêter l’analyse si elle dure plus de (minutes) et utilisez plutôt
une durée de préférence (située entre 1 et 2880 minutes).
Dossiers publics
Cliquez sur Modifier pour sélectionner le ou les dossiers publics à analyser. Maintenez la touche Maj enfoncée si
vous souhaitez sélectionner un dossier, y compris tous ses sous-dossiers. Un nom de dossier se terminant par
/items représente tous les éléments dans le dossier, /all représente tous les éléments dans le dossier et tous les
sous-dossiers, et /subfolders représente tous les sous-dossiers. Lors de la modification, utilisez l’icône en regard
de la case à cocher > pour développer les éléments enfants.
146
Boîtes aux lettres
Cliquez sur Modifier pour activer la ou les cases à cocher en regard des Serveurs (structure physique) et des
Boîtes de courriel (structure logique) que vous souhaitez analyser. La structure physique vous permet de
sélectionner facilement toutes les boîtes de courriel situées sur le serveur ou la base de données en question. La
structure logique vous permet de sélectionner des boîtes de courriel ou des groupes dans la structure de
l’organisation. Les deux sélections sont fusionnées avant l’analyse. Lors de la modification, utilisez l’icône en
regard de la case à cocher > pour développer les éléments enfants.
147
Cliquez sur Enregistrer pour enregistrer vos cibles d'analyse et vos paramètres dans le profil Analyse à la
demande. Vous pouvez maintenant cliquer sur Analyser. Dans le cas où vous n'avez pas précédemment spécifié
les détails du compte d'analyse de la base de données, une fenêtre s'ouvrira demandant des informations
d'identification. Sinon l'option Analyse de la base de données de boîtes de courriels à la demande ne démarrera
pas.
Si vous ne voyez pas la boîte aux lettres administrateur intégrée, vérifiez que l’attribut UserPrincipalName n’est
pas vide.
Si vous exécutez Microsoft Exchange Server 2010 ou 2010, vous pouvez choisir entre Protection de base de
données de boîtes de courriels et Analyse de base de données de boîtes de courriels à la demande. Un seul
type de protection peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données
de boîtes de courriels à la demande, vous devrez désactiver l'intégration de la Protection de base de
données de boîtes de courriels dans Configuration avancée sous Serveur. Sinon l'option Analyse de la base
de données de boîtes de courriels à la demande ne sera pas disponible.
Analyse des boîtes aux lettres Microsoft 365
ESET Mail Security fournit des fonctionnalités d'analyse pour les environnements hybrides Microsoft 365. Cette
option est disponible et visible dans ESET Mail Security uniquement si vous disposez d'un environnement
Exchange hybride (sur site et dans le nuage). Les deux scénarios de routage sont pris en charge par Exchange
Online ou par l'organisation sur site. Pour plus de détails, consultez la section Routage de transport dans les
déploiements hybrides Exchange.
Pour activer cette fonctionnalité, enregistrez l’analyseur ESET Mail Security.
148
Vous pouvez analyser les boîtes de courriels distantes et les dossiers publics Microsoft 365 comme vous le feriez
avec l'analyse de la base de données de boîtes de courriels à la demande classique.
L'exécution d'une analyse complète de la base de données de courriels dans de grands environnements peut
entraîner des charges indésirables sur le système. Pour éviter ce problème, exécutez une analyse sur des bases de
données ou des boîtes de courriel spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre de
temps en haut de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, sélectionnez plutôt
Analyser les messages modifiés au cours de la dernière semaine.
Nous vous recommandons de configurer Microsoft 365. Appuyez sur la touche F5 et cliquez sur Serveur > Analyse
de la base de données de la boîte aux lettres à la demande. Consultez également Détails du compte d'analyse de
la base de données.
Pour voir l'activité de l'analyse des boîtes aux lettres Office 365, accédez à Fichiers journaux > Analyse de la base
de données de la boîte aux lettres.
Éléments de boîte de courriel supplémentaires
L'analyseur de base de données de boîtes de courriels à la demande vous permet d'activer ou de désactiver
l'analyse des autres types d'éléments de boîtes de courriels :
• Analyser l'agenda
• Analyser les tâches
• Analyser les contacts
149
• Analyser le journal
Si vous éprouvez des problèmes liés à la performance, vous pouvez désactiver l'analyse de ces éléments. La
durée des analyses sera plus longue lorsque ces éléments sont activés.
Serveur mandataire
Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et Exchange Server où
ESET Mail Security est installé, spécifiez les paramètres de votre serveur mandataire. Cette exigence s'explique
par le fait que ESET Mail Security se connecte à EWS (Exchange Web Services) API par l'entremise du protocole
HTTP/HTTPS. Sinon, la boîte de courriels de mise en quarantaine et la quarantaine Microsoft Exchange ne
fonctionneront pas.
Serveur mandataire
Entrez l'adresse IP ou le nom du serveur mandataire que vous utilisez.
Port
Entrez le numéro de port du serveur mandataire.
Nom d'utilisateur, Mot de passe
Entrez l'authentifiant dans le cas où votre serveur mandataire exige une authentification.
Détails du compte d'analyse de la base de données
Cette boîte de dialogue s’affiche si vous devez toujours spécifier un nom d’utilisateur et un mot de passe pour
l’analyse de base de données. Spécifiez l'authentifiant de l'utilisateur qui a accès à EWS (Exchange Web Services)
dans cette fenêtre et cliquez sur OK. Vous pouvez également accéder à Configuration avancée > Serveur >
Analyse de base de données de boîtes de courriels à la demande.
1. Tapez votre nom d'utilisateur, cliquez sur Définir, tapez un mot de passe pour ce compte utilisateur, puis
cliquez sur OK.
2. Cochez la case à côté de Enregistrer les informations relatives au compte pour enregistrer les paramètres
du compte. Ainsi, vous n'aurez pas à saisir les informations relatives au compte à chaque exécution d'une
analyse de la base de données de boîtes de courriels à la demande.
150
Si un compte utilisateur n'a pas l'accès approprié à Exchange Web Services (EWS), vous pouvez sélectionner Créer
une assignation de rôle « ApplicationImpersonation » pour attribuer ce rôle à un compte utilisateur. Vous
pouvez également attribuer le rôle ApplicationImpersonation manuellement.
Le compte d'analyse doit avoir les droits ApplicationImpersonation pour que le moteur d'analyse puisse
analyser les boîtes de courriel des utilisateurs dans les bases de données des boîtes de courriel Exchange. Si
vous utilisez Exchange Server 2010 ou une version ultérieure, une nouvelle politique de limitation EWS
illimitée est créée pour le compte utilisateur.
Assurez-vous de configurer une politique de limitation EWS pour le compte d'analyse afin d'empêcher un
nombre trop élevé de demandes d'opération de la part de ESET Mail Security. Veuillez consulter les articles
Meilleures pratiques EWS et Comprendre les politiques de limitation client pour en apprendre davantage
sur les politiques de limitation. Voir également l'article Modifier les paramètres de limitation de l'utilisateur
pour des utilisateurs spécifiques pour plus de détails et d'exemples.
Si vous souhaitez attribuer un rôle ApplicationImpersonation à un compte d'utilisateur manuellement et créer de
nouvelles politiques de limitations de bande passante EWS pour ce compte, vous pouvez utiliser les commandes
suivantes (remplacez ESET-user par un nom de compte réel dans votre système; vous pouvez également définir
des limites pour la politique de limitation de bande passante EWS en remplaçant $null par des chiffres) :
Exchange Server 2010
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user
Cette opération peut prendre quelques instants
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null EWSPercentTimeInAD $null -EWSPercentTimeInCAS $null EWSPercentTimeInMailboxRPC $null
Set-ThrottlingPolicyAssociation -Identity user-ESET -ThrottlingPolicy ESETThrottlingPolicy
Exchange Server 2013, 2016 et 2019
151
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user
Cette opération peut prendre quelques instants
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESETThrottlingPolicy
Types de quarantaine de courriels
Le gestionnaire de Quarantaine de courriel est offert avec les trois types de Quarantaine :
• Quarantaine locale
• Boîte de courriel de mise en quarantaine
• Quarantaine de Microsoft Exchange
Vous pouvez voir le contenu de la quarantaine de messagerie de Microsoft Exchange dans le gestionnaire de
quarantaine de messagerie. En outre, vous pouvez afficher la quarantaine locale dans l’interface Web de la
quarantaine de courriels.
Stocker les messages des destinataires non existants
Ce paramètre s'applique aux messages marqués pour être mis en quarantaine par une protection antivirus, une
protection antipourriel ou en fonction des règles. Lorsque cette fonction est activée, les messages qui sont
envoyés aux utilisateurs qui n'existent pas dans votre Active Directory sont stockés dans la Quarantaine à
courriels. Désactivez cette option si vous ne souhaitez pas conserver ces messages dans votre Quarantaine à
courriels. Lorsque cette fonction est désactivée, les messages envoyés aux destinataires inconnus seront
supprimés en silence.
Consultez l'exemple : si vous souhaitez mettre en quarantaine tous les messages dont les destinataires n'existent
pas.
Consigner les actions de libération
Lors de la libération d’éléments de la quarantaine de messagerie, ces actions sont inscrites dans le journal de
protection du serveur de messagerie dans les fichiers journaux. Si vous utilisez ESET PROTECT, ESET Management
Agent collecte des informations à partir du journal de protection du serveur de messagerie et vous pouvez utiliser
la fonctionnalité Rapports de ESET PROTECT pour gérer davantage les données si nécessaire.
Ignorer l'évaluation des règles lors de la libération des courriels
Si vous voulez libérer un message de la quarantaine, ce message ne sera pas évalué à l'aide des règles. Cela
permet d'éviter que le message ne retourne en quarantaine; le message libéré sera livré au destinataire. Cette
fonction n'est utilisée que lorsque l'administrateur libère le message. Si vous désactivez cette fonctionnalité, ou si
un message est libéré par un utilisateur autre que l'administrateur, le message sera évalué à l'aide des règles.
152
Si vous exécutez un environnement en grappe et sortez un message de la quarantaine, le message ne sera
pas remis en quarantaine par les autres nœuds ESET Mail Security. C’est le cas grâce à la synchronisation
des règles entre les nœuds de la grappe.
Amorce de signature de courriel pour un environnement multiserveur
Vous permet d'ignorer l'évaluation des règles lors de la publication des courriels dans un environnement
multiserveur. Tapez la même valeur d'amorce (une chaîne de caractères, par exemple, une phrase secrète) sur
tous les serveurs entre lesquels vous souhaitez établir un lien de confiance.
Format pour l'enveloppe de pièce jointe
Lorsqu’un courriel est libéré de la quarantaine, il est joint à un nouveau message (enveloppe de pièce jointe), qui
est ensuite remis au destinataire. Le destinataire reçoit le message d'origine en cours de libération de la
quarantaine de courriels en tant que pièce jointe. Vous pouvez utiliser le format d’enveloppe prédéfini ou le
modifier en fonction de vos besoins à l’aide des variables disponibles.
Utiliser la grappe ESET pour stocker tous les messages mis en quarantaine sur un nœud
Si vous utilisez la grappe ESET, cette option sera disponible. Nous vous recommandons d'utiliser cette fonction,
car elle vous permet de conserver le magasin de fichiers Quarantaine locale en un seul endroit, le nœud principal.
Nœud principal
Spécifiez quel serveur est le nœud maître de votre grappe ESET. Vous allez accéder à votre dossier de quarantaine
local sur le nœud principal et le gérer (vous pouvez utiliser le gestionnaire de quarantaine de courriels à partir de
le fenêtre principale de programme ou de l'interface Web de la quarantaine de courriels.
Quarantaine locale
La quarantaine locale utilise le système de fichiers local pour stocker les courriels mis en quarantaine et une base
de données SQLite comme index. Les fichiers de courriel mis en quarantaine qui sont stockés, tout comme les
fichiers de base de données, sont chiffrés pour des raisons de sécurité. Ces fichiers se trouvent sous
C:\ProgramData\ESET\ESET Mail Security\MailQuarantine (dans Windows Server 2012).
Si vous voulez stocker les fichiers en quarantaine sur un autre lecteur, autre que , le lecteur par défaut,
remplacez le dossier de données par le chemin d'accès de votre choix pendant l'installation de ESET Mail
Security.
Fonctionnalités de la Quarantaine locale :
• Les pourriels et les courriels en quarantaine seront stockés dans un système de fichiers local, et pas dans
une base de données de boîte de courriels Exchange.
• Chiffre et compresse les fichiers de courriel en quarantaine stockés localement.
• Interface Web de la quarantaine de courriel comme alternative au Gestionnaire de la quarantaine de
courriel.
• Envoie des rapports de quarantaine en tant que tâche planifiée à une adresse courriel spécifique
• Supprime les fichiers de courriel en quarantaine de la fenêtre de quarantaine (après 21 jours par défaut)
153
et les stocke dans un système de fichiers jusqu'à leur suppression automatique après un nombre de jours
spécifique
• Supprime automatiquement les anciens fichiers de courriel (après trois jours par défaut); pour plus
d'informations, consultez la rubrique Paramètres de stockage des fichiers.
• Vous pouvez restaurer les fichiers de courriel mis en quarantaine à l'aide d'eShell (en supposant qu'ils
n'ont pas encore été supprimés du système de fichiers).
• Inspectez les courriels mis en quarantaine et décidez de les supprimer ou de les libérer. Pour afficher et
gérer les courriels mis en quarantaine locale, vous pouvez utiliser le gestionnaire de la quarantaine de
courriel à partir de le fenêtre principale de programme principale ou de l'interface Web de la Quarantaine
de courriel.
L'inconvénient de l'utilisation de la quarantaine locale est que si vous exécutez ESET Mail Security sur
plusieurs serveurs avec des rôles de serveur de transport Hub, vous devez gérer la quarantaine locale de
chaque serveur séparément. Plus vous avez de serveurs de courriels, plus vous devrez gérer la quarantaine.
Stockage de fichiers
Dans cette section, vous pouvez modifier les paramètres de stockage des fichiers utilisés par la quarantaine
locale.
Compresser les fichiers mis en quarantaine
Les fichiers compressés mis en quarantaine occupent moins d’espace disque, mais si vous décidez de ne pas
compresser les fichiers, vous pouvez cliquer sur le commutateur d’activation/désactivation pour désactiver la
compression.
Effacer les anciens fichiers après (jours)
Après avoir été conservés pendant un certain nombre de jours, les messages sont retirés de la fenêtre de
quarantaine. Toutefois, les fichiers ne seront pas supprimés du disque. Étant donné que les fichiers ne sont pas
supprimés du système de fichiers, vous pouvez les récupérer à l’aide de eShell.
Effacer les fichiers supprimés après (jours)
Ce paramètre supprime les fichiers du disque après le nombre de jours spécifié et il n’est pas possible de les
récupérer après leur suppression (à moins de disposer d'une solution de sauvegarde du système de fichiers).
Interface Web
L'interface Web de la Quarantaine de courriel est une alternative au gestionnaire de la quarantaine de courriel.
Cependant, elle est seulement disponible pour la Quarantaine local.
L'interface Web de la quarantaine de courriel n'est pas disponible sur un serveur avec le rôle Edge
Transport Server, car Active Directory n'est pas accessible pour l'authentification.
L’interface Web de la Quarantaine de messages permet d’afficher l’état de mise en quarantaine des messages. Il
permet également de gérer les courriels mis en quarantaine. Il est possible d'accéder à cette interface Web à
154
partir des liens contenus dans les rapports de quarantaine ou en entrant une lien dans un navigateur Web.
Pour accéder à l'interface Web de la Quarantaine de courriel, vous devez vous authentifier en utilisant
l'authentifiant de domaine. L'authentification d'un utilisateur de domaine se fera automatiquement avec Edge.
Cependant, le certificat de la page Web doit être valide; l'option Connexion automatique doit être activée dans
Microsoft Internet Explorer et l’interface du site Web de la quarantaine de courriel doit être ajouté aux sites
intranet locaux.
N’importe quel utilisateur dans Active Directory peut accéder à l’interface Web de mise en quarantaine de
courriel, mais il ne verra que les éléments mis en quarantaine envoyés à son adresse de courriel (y compris les
alias de l’utilisateur). L'administrateur est capable de voir tous les éléments mis en quarantaine pour tous les
destinataires.
ESET Mail Security n'utilise pas IIS pour exécuter l'interface Web de quarantaine de messagerie. En
revanche, il utilise l'API du serveur HTTP, y compris la prise en charge du protocole SSL, pour permettre
l'échange de données sur des connexions HTTP sécurisées.
URL Web
Il s’agit de l’URL à partir de laquelle l’interface du site Web de la quarantaine de courriel est accessible. Par
défaut, il s’agit du nom de domaine complet du serveur avec /quarantine (par exemple,
mailserver.company.com/quarantine). Vous pouvez spécifier votre propre répertoire virtuel a la place du
répertoire par défaut /quarantine. Vous pouvez changer l'url Web à tout moment en modifiant sa valeur.
La valeur Web doit être spécifiée sans schéma (HTTP, HTTPS) ni numéro de port; utilisez uniquement le formulaire
fqdn/virtualdirectory. Vous pouvez aussi utiliser des caractères génériques au lieu du nom de domaine complet.
Après avoir modifié l’URL Web, vous ne pouvez pas revenir à la valeur par défaut en cliquant sur l’icône de Retour
. Supprimez l'entrée et laissez la boîte de texte vide. Redémarrez votre serveur. Lorsque ESET Mail Security
démarre et trouve que l'url Web est vide, il remplit ce champ automatiquement à l'aide de la valeur par défaut
fqdn/quarantine.
ESET Mail Security prend en charge les urls Web dans quatre formats différents :
Caractères génériques forts (+/quarantine)
Explicite (mydomain.com/quarantine)
Caractères génériques faibles liés à l'IP (192.168.0.0/quarantine)
Caractères génériques faibles (*/quarantine)
Consultez la section Catégories de spécification d'hôte de l'article Chaînes UrlPrefix pour plus de
renseignements.
Web et langue du rapport
Cette fonctionnalité vous permet de définir la langue de l’interface Web de la mise en quarantaine du courriel et
des rapports de quarantaine.
Port HTTPS
Le port HTTPS est utilisé pour l'interface Web. Le numéro de port par défaut est 443.
Port HTTP
Port HTTP - Utilisé pour libérer les courriels de la quarantaine par l'intermédiaire des rapports sur les courriels.
155
Si vous n'avez pas de certificat SSL installé sur IIS, configurez la liaison de port HTTPS. Si vous modifiez le
numéro de port pour HTTPS ou HTTP, assurez-vous d'ajouter la liaison de port dans IIS.
Activer les administrateurs par défaut
Par défaut, les membres du groupe Administrateurs disposent d'un accès administrateur à l'interface Web de
Quarantaine de courriels. L'accès Administrateur n'a pas de restrictions et permet à l'administrateur de voir tous
les éléments mis en quarantaine, quels que soient les destinataires. Si vous désactivez cette option, seuls les
utilisateurs répertoriés dans Droits d’accès supplémentaires (voir ci-dessous) peuvent accéder à l’interface Web
de la quarantaine de courriel.
Droits d'accès supplémentaires
Cette fonctionnalité permet aux utilisateurs de gérer la quarantaine de courriels d’autres utilisateurs. Vous
pouvez créer des administrateurs de quarantaine en accordant à un utilisateur (ou à un groupe) un accès
supplémentaire à l’interface Web de la mise en quarantaine des courriels d’un autre utilisateur (ou de tous les
membres d’un groupe) pour gérer les éléments mis en quarantaine.
1. Cliquez sur Modifier pour ouvrir la fenêtre des droits d'accès supplémentaires; cliquez ensuite sur Ajouter.
2. Cliquez sur Sélectionner et utilisez le sélecteur d’objet d’Active Directory pour choisir un utilisateur ou un
groupe dont les membres auront accès à la mise en quarantaine de courriels.
3. Sélectionnez le type d’accès dans le menu déroulant :
• Administrateur - l'utilisateur a un accès administrateur à l'interface Web de quarantaine de courriels.
• Accès délégué : L’utilisateur (délégué) est autorisé à voir et à gérer les messages mis en quarantaine pour
un autre destinataire. Indiquez l'adresse du destinataire en saisissant l'adresse courriel d'un utilisateur dont
les messages en quarantaine seront gérés par le délégué. Si un utilisateur possède des pseudonymes dans
Active Directory, vous pouvez ajouter des droits d'accès à chaque pseudonyme si vous le voulez.
• Utilisateur ou groupe délégué : Identique à l’accès délégué, et l’utilisateur peut également utiliser le
sélecteur d’objet d’Active Directory pour choisir un utilisateur ou un groupe dont la quarantaine des
membres sera gérée.
156
4. Cliquez sur Sélectionner et choisissez un utilisateur ou un groupe cible. Utilisez le sélecteur d'objets Active
Directory pour choisir un utilisateur ou un groupe dont la quarantaine des membres sera gérée par le délégué
sélectionné à l'étape 2.
Un exemple d'utilisateurs qui ont obtenu des droits d'accès supplémentaires à l'interface Web de quarantaine de
courriels :
157
Pour accéder à l'interface Web de Quarantaine de courriel, ouvrez votre navigateur Web et utilisez l'URL spécifiée
dans Configuration avancée (F5) > Serveur > Quarantaine de courriel > Interface Web > URL Web.
Version
Cette option libère les courriels vers les destinataires à l'aide du répertoire Replay et le supprime de la
quarantaine. Cliquez sur Soumettre pour confirmer l'action.
Lors de la libération des courriel de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il peut
facilement être mystifié. À la place, l'information de destinataire initial obtenue grâce à la commande RCPT
TO: pendant la connexion SMTP est utilisée. Cela garantit que le message qui est libéré de la quarantaine
sera remis au bon destinataire.
Si vous exécutez un environnement en grappe et sortez un message de la quarantaine, le message ne sera
pas remis en quarantaine par les autres nœuds ESET Mail Security. C’est le cas grâce à la synchronisation
des règles entre les nœuds de la grappe.
Libérer vers
Si vous ne souhaitez pas envoyer un courriel à tous les destinataires, utilisez cette option pour sélectionner les
destinataires spécifiques qui recevront le courriel envoyé. Cette option est disponible uniquement pour les
messages avec plusieurs destinataires.
Supprimer
Cette fonctionnalité permet de supprimer des éléments de la quarantaine. Cliquez sur Soumettre pour confirmer
l'action.
Lorsque vous cliquez sur Objet, une fenêtre contextuelle s'ouvrire contenant des détails sur le courriel mis en
quarantaine comme le Type, la Raison, l'Expéditeur, la Date, les Fichiers joints, etc.
158
Cliquez Afficher les en-têtes pour vérifier l'en-tête du courriel mis en quarantaine.
159
Au besoin, cliquez sur Libérer ou Supprimer pour entreprendre une action contre un courriel mis en quarantaine.
Vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement de l'interface Web
de la Quarantaine de courriel. Sinon, cliquez sur Atteindre pour faire basculer la vue de la quarantaine
vers l'écran précédent.
Si vous rencontrez des problèmes pour accéder à l'interface Web de la quarantaine de courriels à partir de
votre navigateur ou si vous obtenez l'erreur HTTP Error 403.4 - Forbidden ou un message similaire, vérifiez
le type de quarantaine qui est sélectionné et assurez-vous qu'il s'agit d'une quarantaine locale et que
l'option Activer l'interface Web est activée.
Envoyer les rapports de quarantaine de courriel - tâche
planifiée
Les rapports de mise en quarantaine des messages sont des courriels de notification envoyés aux utilisateurs et
aux administrateurs sélectionnés pour les informer au sujet de leurs courriels mis en quarantaine par ESET Mail
Security. Les rapports contiennent des liens qui vous permettent, ainsi qu'aux utilisateurs qui reçoivent les
rapports de mise en quarantaine des messages, de supprimer ou de diffuser (envoyer) un courriel faux positif (FP)
directement. La livraison de certains messages filtrés par des règles ou mis en quarantaine par la protection
antivirus n'est pas autorisée pour les utilisateurs ordinaires.
Il existe deux types de rapports de mise en quarantaine du courriel : utilisateur et administrateur. Le rapport
d’administrateur contient des messages pour tous les utilisateurs (la quarantaine entière). Le rapport de mise en
quarantaine de la messagerie utilisateur contient uniquement les messages spécifiques de l’utilisateur tels que
configurés dans la tâche planifiée.
Pour commencer à envoyer des rapports de quarantaine, créez une tâche planifiée (Outils > Planificateur >
Ajouter une tâche) et sélectionnez le type de tâche Envoyer des rapports de quarantaine du courriel ou
Envoyer des rapports administrateurs de quarantaine de courriel. Lors de la sélection des destinataires, les
boîtes aux lettres liées sont incluses dans la liste des boîtes aux lettres disponibles.
La tâche Envoyer des rapports de quarantaine/Envoyer des rapports administrateurs de quarantaine envoie un
rapport sur la mise en quarantaine des messages par courriel en fonction de la tâche planifiée spécifiée. Exemple
de rapport de mise en quarantaine de messagerie d’un utilisateur :
160
Le rapport sur la mise en quarantaine des courriels contient également un lien vers Interface Web de mise en
quarantaine des courriels pour l'utilisateur (ouvrir la visionneuse en ligne).
La tâche Envoyer des rapports de quarantaine de courriel est disponible uniquement lorsque vous utilisez
la mise en quarantaine locale. Vous ne pourrez pas l'utiliser avec la boîte de courriels de quarantaine et la
quarantaine MS Exchange.
Adresse de l'expéditeur
Permet de spécifier une adresse de courriel qui sera affichée en tant qu'expéditeur du rapport sur la mise en
quarantaine des courriels.
Nombre d'enregistrements maximum dans le rapport
Vous pouvez limiter le nombre d'entrées dans chaque rapport. Le nombre par défaut est de 50.
Activer les liens d'action
Activez cette option pour spécifier l'URL web de votre interface web de quarantaine de messages, qui sera
intégrée dans le rapport.
161
URL Web
Spécifiez l'URL à intégrer dans le rapport de mise en quarantaine des e-mails pour fournir aux destinataires un
accès rapide à l'interface web de quarantaine de messages.
Envoyer à des utilisateurs
Spécifiez les utilisateurs qui recevront des rapports de quarantaine de messages. Les utilisateurs du domaine et
les utilisateurs externes (en dehors du domaine) sont pris en charge.
Envoyer aux unités d'organisation
Spécifiez les unités d'organisation qui recevront les rapports de quarantaine de messages.
Description
Modifiez le texte affiché dans l'en-tête du rapport, si nécessaire.
Le rapport Quarantaine de courriel ne sera envoyé que s'il y a des messages en quarantaine. Si la
quarantaine est vide ou s’il n’y a pas de nouveaux éléments depuis le dernier rapport, le rapport ne sera
pas envoyé. Lorsque le rapport de quarantaine de courriel est envoyé, il ne contient que les éléments
nouvellement ajoutés depuis le dernier rapport (et non l'ensemble du contenu de la quarantaine).
Objectif: Créez une tâche planifiée pour vous envoyer régulièrement des rapports sur la mise en
quarantaine des courriels en tant qu'administrateur ou pour informer les utilisateurs de leurs pourriels
actuellement stockés dans la quarantaine des courriels.
Accédez à Outils > Planificateur > Ajouter une tâche et ouvrez l'assistant.
Tapez le nom de la tâche et sélectionnez le type de tâche dans le menu déroulant.
Envoyer des rapports de quarantaine de courrier (le rapport ne contiendra que des pourriels précis de
l'utilisateur) ou Envoyer des rapports sur la mise en quarantaine de courriels à l'administrateur (le rapport
contiendra tous les messages, la quarantaine complète); cliquez sur Suivant.
Sélectionnez l'une des options suivantes pour définir le moment d'exécution de la tâche planifiée : Par
exemple, Hebdomadaire, chaque vendredi à 10 h.
Spécifier l'adresse de l'expéditeur (administrateur@mondomaine.com).
Saisissez des destinataires dans le champ Envoyer aux utilisateurs ou Envoyer aux unités d'organisation.
Ces destinataires recevront des rapports de quarantaine de messages.
Interface Web de la quarantaine de courriels pour
l'utilisateur
Vous avez accès à une interface Web où vous pouvez gérer les messages mis en quarantaine tels que les pourriels,
les messages mystifiés ou les hameçons, ainsi que les messages filtrés par des règles définies par l'administrateur.
Normalement, vous pouvez uniquement voir les messages envoyés à votre adresse courriel et mis en
quarantaine. Toutefois, si la gestion des messages mis en quarantaine d'autres utilisateurs vous a été déléguée,
vous verrez également les messages de ces utilisateurs. Vous pouvez distinguer les messages par les destinataires.
Utilisez la fonction de recherche pour filtrer les messages par destinataire, par exemple.
Vous pouvez choisir une action à exécuter avec un ou plusieurs messages, tels que Libérer, Supprimer ou Aucune
action. La disponibilité des actions dépend du niveau d'accès et des paramètres de la règle. Par exemple, vous ne
pourrez peut-être pas libérer ou supprimer certains types de messages.
162
Si vous avez reçu un accès administrateur, vous verrez tous les messages mis en quarantaine pour tous les
utilisateurs et vous pourrez effectuer n'importe quelle action.
Gestion de vos messages mis en quarantaine
L'interface Web de mise en quarantaine du courriel vous permet de visualiser ce qui a été mis en quarantaine. Si
vous avez un accès délégué ou même un accès administrateur, vous verrez également d'autres messages mis en
quarantaine.
Vous pouvez modifier le nombre d'entrées par page (taille de la page) dans le coin inférieur gauche de la fenêtre.
S'il y a trop de messages, utilisez la fonction Rechercher dans la barre supérieure pour rechercher un courriel en
particulier ou pour filtrer le contenu par Objet, par Expéditeur ou par Destinataire (Destinataire est uniquement
disponible pour les utilisateurs avec accès délégué ou pour les administrateurs). De plus, vous pouvez utiliser les
cases à cocher pour afficher uniquement les messages d'un certain type (pourriel, logiciel malveillant, règle,
hameçonnage et les messages mystifiés).
Pour libérer (livrer) un message qui a été mis en quarantaine à la suite d'un faux positif pendant la classification,
utilisez les boutons radio sur la droite et sélectionnez Libérer. Pour supprimer un message, sélectionnez l'action
Supprimer.
Vous pouvez sélectionner plusieurs messages avec l'action appropriée en même temps. Une fois votre sélection
163
terminée, cliquez sur Envoyer.
Les messages qui doivent être libérés sont ensuite remis à votre boîte de courriels ou à la boîte de courriels du
destinataire d'origine si vous avez un accès délégué et si vous libérez des messages pour d'autres utilisateurs. Les
messages qui doivent être supprimés sont définitivement supprimés de la quarantaine.
Les deux actions, Libérer et Supprimer, sont irréversibles une fois que vous cliquez sur Envoyer.
L'affichage est actualisé automatiquement lorsque vous cliquez sur Envoyer, mais vous pouvez actualiser
l'affichage manuellement en utilisant le bouton d'actualisation de votre navigateur Web ou en appuyant sur la
touche F5 de votre clavier.
Types d’éléments mis en quarantaine que les utilisateurs non-administrateurs sont autorisés à libérer :
• Pourriel
• Courriels mystifiés par l'expéditeur
• Détections de type règle (avec l’option Peut être libéré par les utilisateurs activé pour Action de message
en quarantaine)
Les utilisateurs non-administrateurs ne sont pas autorisés à libérer les éléments suivants :
• Logiciel malveillant
• Hameçonnage
• Détections de type règle (sans l’option Peut être libéré par les utilisateurs activé pour Action de message
en quarantaine)
Demandez de l’aide à votre administrateur si vous devez libérer des éléments mis en quarantaine que vous
n’êtes pas autorisé à libérer.
Vous n'avez pas besoin de supprimer régulièrement les messages mis en quarantaine; ils sont supprimés
automatiquement après une période spécifiée par l'administrateur.
Vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement de l'interface Web
de la Quarantaine de courriel. Sinon, cliquez sur Atteindre pour faire basculer la vue de la quarantaine vers
l'écran précédent.
Boîte de courriels de mise en quarantaine et
quarantaine Microsoft Exchange
Si vous décidez de ne pas utiliser la Quarantaine locale, deux options s'offrent à vous : le Courriel de quarantaine
ou la Quarantaine MS Exchange. Peu importe l'option choisie, vous devez créer un utilisateur dédié avec une
adresse de courriel (par exemple quarantaine_courriel@entreprise.com) qui sera ensuite utilisée pour stocker vos
courriels mis en quarantaine. À l'aide de cet utilisateur et de cette adresse de courriel, vous pourrez aussi voir et
gérer les éléments dans la quarantaine à partir du gestionnaire de quarantaine de courriel. Vous devez fournir les
détails de compte de cet utilisateur dans la section paramètres du gestionnaire de quarantaine.
L'avantage d'utiliser la boîte de courriels de quarantaine ou la quarantaine Microsoft Exchange par rapport
à la quarantaine locale est le suivant : les éléments de la boîte de courriels de quarantaine sont gérés à
partir d'un endroit, sans égard au nombre de serveurs ayant un rôle Hub Transport Server au sein de
l’infrastructure. Contrairement à la quarantaine locale, la mise en quarantaine des boîtes de courriels ou la
quarantaine MS Exchange, les pourriels et les courriels mis en quarantaine sont stockés dans les bases de
données de boîtes aux lettres Exchange. Toute personne ayant accès à la boîte de courriels de quarantaine
peut gérer les messages mis en quarantaine.
164
Lorsque vous comparez la boîte de courriels de quarantaine et la Quarantaine MS Exchange, les deux options
utilisent une boîte de courriels dédiée comme mécanisme sous-jacent pour stocker les messages mis en
quarantaine, mais diffèrent légèrement dans la façon dont les messages sont distribués. Courriel de quarantaine
et quarantaine de MS Exchange :
Boîte de courriel de mise en quarantaine
ESET Mail Security crée un courriel enveloppeur séparé contenant des informations supplémentaires et les
courriels d'origine sous forme de pièce jointe, puis les envoie à la boîte de courriels.
Vous devez spécifier une adresse pour les messages en quarantaine (par exemple
quarantaine_principale@entreprise.com).
Nous ne recommandons pas d'utiliser le compte Administrateur comme boîte de courriels de quarantaine.
Quarantaine de MS Exchange
Microsoft Exchange Server est responsable de la remise du courriel à la boîte de courriels elle-même. La boîte de
courriels doit être définie comme une quarantaine au niveau de l'organisation dans Active Directory (par une
commande PowerShell répertoriée ci-dessous).
Par défaut, la quarantaine interne n'est pas activée dans Microsoft Exchange Server. À moins que vous
l'ayez activé, ouvrez Exchange Management Shell et tapez la commande suivante (remplacez
Name@domain.com par une adresse réelle de votre boîte aux lettres dédiée) : Set-ContentFilterConfig QuarantineMailbox name@domain.com
ESET Mail Security utilise le système de quarantaine de Microsoft Exchange (cela s'applique à Microsoft Exchange
Server 2010 et aux versions ultérieures). Dans ce cas, le mécanisme interne d'Exchange sera utilisé pour stocker
les messages potentiellement infectés et les POURRIELS.
Paramètres du gestionnaire de quarantaine
Adresse hôte
Elle apparaîtra automatiquement si votre Exchange Server avec un rôle Client Access Server (CAS) est présent
localement. Si le rôle CAS n'est pas sur le même serveur sur lequel ESET Mail Security a été installé, mais qu'il peut
être trouvé dans l'AD, il est également possible que l'adresse de l'hôte apparaisse automatiquement. Si elle
n'apparaît pas, vous pouvez tapez le nom d'hôte manuellement. La détection automatique ne fonctionnera pas
sur le rôle Edge Transport Server. l'adresse IP n'est pas prise en charge. Vous devez utiliser le nom d'hôte du
serveur CAS.
Nom d'utilisateur
Le compte utilisateur de la quarantaine dédié que vous avez créé pour le stockage des messages mis en
quarantaine (ou un compte qui a accès à cette boîte de courriels par l'entremise de la délégation d'accès). Sur le
rôle serveur de transport Edge qui ne fait pas partie du domaine, il est nécessaire d'utiliser l'adresse de courriel
complète (par exemple main_quarantine@company.com).
Mot de passe
Tapez le mot de passe de votre compte utilisateur de la quarantaine.
165
Utiliser le protocole SSL
Cette option doit être activée si la configuration d'EWS (Exchange Web Services) est réglée à Exiger le protocole
SSL dans IIS. Si le protocole SSL est activé, il faut importer le certificat Exchange Server dans le système à l'aide de
ESET Mail Security (au cas où les rôles serveur Exchange se trouvent sur différents serveurs). Les paramètres
d'EWS peuvent être consultés dans IIS, à partir de Sites/Default web site/EWS/SSL Settings.
Désactivez uniquement Utiliser le protocole SSL lorsque les services Web Exchange (EWS) sont configurés
dans IIS pour ne pas exiger SSL.
Ignorer les erreurs de certificat de serveur
Ignore les états suivants : self-signed, wrong name in certificate, wrong usage, expired.
Serveur mandataire
Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et Exchange Server où
ESET Mail Security est installé, spécifiez les paramètres de votre serveur mandataire. Cette exigence s'explique
par le fait que ESET Mail Security se connecte à EWS (Exchange Web Services) API par l'entremise du protocole
HTTP/HTTPS. Sinon, la boîte de courriels de mise en quarantaine et la quarantaine Microsoft Exchange ne
fonctionneront pas.
Serveur mandataire
Entrez l'adresse IP ou le nom du serveur mandataire que vous utilisez.
Port
Entrez le numéro de port du serveur mandataire.
Nom d'utilisateur, Mot de passe
Entrez l'authentifiant dans le cas où votre serveur mandataire exige une authentification.
Détails du compte du gestionnaire de la quarantaine
Cette fenêtre de dialogue s'affiche si vous n'avez pas spécifié les détails du compte (un nom d'utilisateur et un
mot de passe) pour le gestionnaire de quarantaine. Spécifiez l'authentifiant d'un utilisateur qui a accès à la Boîte
de courriel de la Quarantaine et cliquez sur OK. Vous pouvez également appuyer sur la touche F5 pour accéder
aux Paramètres avancés. Allez ensuite à Serveur > Quarantaine de courriel > Paramètres du gestionnaire de
quarantaine.
Tapez le Nom d'utilisateur et le Mot de passe de votre boîte de courriel de mise en quarantaine.
166
Cochez la case à côté de Enregistrer les informations relatives au compte pour enregistrer les paramètres du
compte en prévision des prochains accès au gestionnaire de la Quarantaine.
Signature DKIM
La signature DKIM (DomainKeys Identified Mail) est une méthode permettant de sécuriser les courriels sortants et
de faciliter leur vérification. Cette méthode permet aux serveurs de messagerie destinataires de distinguer avec
précision les messages authentiques des pourriels.
L’authentification DKIM fonctionne de la manière suivante :
• Les en-têtes des courriels sortants sont signés avec une clé privée DKIM.
• Le serveur de messagerie destinataire vérifie l'enregistrement DNS DKIM qui contient une clé publique.
• Si la signature avec la clé privée dans les en-têtes de message correspond à la clé publique
d’enregistrement DNS, le courriel est considéré comme authentique et est remis à son ou ses destinataires.
• Si la signature et la clé publique ne correspondent pas, ce qui arrive au courriel dépend de la configuration
du serveur de messagerie de réception (il peut avoir des règles spécifiques en place, par exemple ESET Mail
Security utilise la condition de règle de résultat DKIM à cette fin).
Pour utiliser la fonctionnalité de signature DKIM de ESET Mail Security, veillez à ce que l’enregistrement DNS
DKIM soit configuré pour votre domaine. Pour plus d’informations sur la création d’un enregistrement DKIM,
consultez l’article Qu'est-ce que l'enregistrement DKIM et comment le créer?. L'article comprennent également
un exemple d’enregistrement DKIM.
Nous vous suggérons ensuite d'utiliser le Vérificateur d’enregistrement DKIM ou MXToolBox pour vérifier que la
clé publique DKIM est présente et que la syntaxe est correctement implémentée.
Vous pouvez utiliser l’exemple de commande suivant pour créer un certificat auto-signé à l’aide du
PowerShell (il sera possible de le choisir dans le magasin de certificats) :
New-SelfSignedCertificate -CertStoreLocation "cert:\LocalMachine\My" -KeySpec
Signature -DnsName <user domain>
Configurez la signature DKIM dans ESET Mail Security en spécifiant les domaines DKIM et une liste d’en-têtes de
courriel à signer. La signature DKIM est ajoutée aux en-têtes de message sélectionnés. Chaque signature DKIM
contient des informations que les serveurs de messagerie peuvent utiliser pour vérifier l’authenticité d’un courriel
lorsqu’ils le transmettent à la destination finale. Si vous utilisez plusieurs domaines pour les messages sortants,
167
vous pouvez configurer la signature DKIM pour chaque domaine séparément.
Activez la signature DKIM sous Serveur > Intégration dans la Configuration avancée. Pour la configuration
de la priorité de l’agent, nous vous recommandons de conserver la priorité de l’agent ESET DKIM à la
dernière place, en bas, pour vous assurer que les en-têtes sont signés en dernier lieu après les
modifications apportées aux en-têtes par les agents précédents.
Domaines DKIM
Définir les paramètres de signature DKIM pour chaque domaine. Cliquez sur Modifier pour ouvrir la fenêtre de
domaines DKIM. Cliquez sur Ajouter pour créer de nouveaux paramètres DKIM ou modifier ceux qui existent
déjà.
• Domaine : Saisissez le domaine (par exemple mydomain.local).
• Sélecteur : spécifiez un sélecteur pour un attribut de signature DKIM. Ce sélecteur est alors utilisé dans le
domaine d’entête DKIM-Signature.
• Empreinte numérique de certificat : cliquez sur Sélectionner à partir du magasin des certificats et
choisissez le certificat pour la signature DKIM.
• Nom d’enregistrement DNS DKIM : ce paramètre est généré automatiquement. Le nom se compose du
sélecteur et du domaine spécifiés dans les champs ci-dessus.
• Enregistrement DNS DKIM : L’enregistrement texte DNS (TXT) est généré automatiquement. Il contient la
clé publique du certificat DKIM.
168
Liste des en-têtes de courriel à signer
Cliquez sur Modifier pour ouvrir la fenêtre Liste des en-têtes de courriel à signer, cliquez sur Ajouter pour ajouter
de nouveaux en-têtes ou sur Modifier pour modifier les en-têtes existants dans la liste.
Test antivirus
Pour vérifier que la protection en temps réel fonctionne et détecte les virus, utilisez un fichier de test de
eicar.com. Il s’agit d’un fichier inoffensif détectable par tous les programmes antivirus créés par l’EICAR (European
Institute for Computer Antivirus Research).
Pour tester la fonctionnalité de votre antivirus, créez un fichier texte contenant la chaîne suivante :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Pour obtenir plus d’informations et pour télécharger des fichiers de test, visitez
https://www.eicar.org/download-anti-malware-testfile/
Test antipourriel
À l’aide d’une chaîne de test GTUBE (Generic Test for Unsolicited Bulk Email), vous pouvez vérifier que la
fonctionnalité antipourriel de ESET Mail Security détecte les pourriels entrants.
Pour tester la fonctionnalité antipourriel, envoyez un courriel avec la chaîne de 68 octets suivante dans le corps
du message :
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
169
Utilisez la chaîne telle quelle (une ligne, sans espace ni saut de ligne). Vous pouvez télécharger un courriel
approprié au format RFC-822.
Test antihameçonnage
Pour tester la fonctionnalité antihameçonnage, envoyez un courriel avec le lien suivant (URL) dans le corps ou
l'objet du message :
https://www.amtso.org/check-desktop-phishing-page/
Pour voir l’activité de protection du courriel contre le hameçonnage, accédez à Fichiers journaux > Journal de
protection du serveur de messagerie. Il contiendra des informations sur les courriels et les liens d’hameçonnage
trouvés.
Computer
Le moteur de détection vous protège des attaques malveillantes contre le système en analysant les échanges de
fichiers et d'e-mails, ainsi que les communications Internet. Si un objet classé comme logiciel malveillant est
détecté, la correction commencera. Le moteur de détection peut l'éliminer en le bloquant dans un premier
temps, puis en exécutant une action comme le nettoyage, la suppression ou la mise en quarantaine.
Protection en temps réel et par apprentissage machine
L’apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue couche avancée de
protection qui améliore la détection basée sur l’apprentissage machine. Pour en savoir plus sur ce type de
protection, consultez le glossaire. Vous pouvez configurer les niveaux de protection et de rapport des catégories
suivantes :
Logiciel malveillant
Un virus informatique est un fragment de code malveillant ajouté à des fichiers qui sont sur votre ordinateur. Le
terme « virus » est souvent utilisé de manière incorrecte. Le terme « logiciel malveillant » (malware, en anglais)
est plus précis. La détection des logiciels malveillants est effectuée par le module du moteur de détection associé
au composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'objectif n'est pas nécessairement malveillant. Il
peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de l'appareil numérique,
effectuer des activités non approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs flous.
Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres
d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, etc. Pour en savoir plus
sur ces types d'applications, consultez le glossaire.
Applications potentiellement suspectes
Une application suspecte est un logiciel compressé par des compresseurs ou des programmes de protection qui
est souvent utilisée pour décourager l'ingénierie inverse ou pour obfusquer le contenu de l'exécutable (pour
170
masquer la présence de logiciels malveillants par exemple) par des méthodes propriétaires de compression et/ou
chiffrement.
Cette catégorie comprend les éléments suivants : toutes les applications inconnues compressées à l'aide d'un
compresseur ou d'un programme de protection fréquemment utilisées pour compresser les logiciels malveillants.
Applications potentiellement dangereuses
Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles d'être utilisés à des fins
malveillantes. Les applications dangereuses sont des logiciels commerciaux authentiques susceptibles d'être
utilisés à des fins malveillantes.
Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les outils de piratage, les
programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes qui
enregistrent chaque frappe au clavier de l'utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour les rapports ou la protection d'une
catégorie :
Rapports
La création de rapports est effectuée par le moteur de détection et le composant d'apprentissage machine. Vous pouvez définir le seuil des rapports pour les adapter à votre environnement et à vos
besoins. Il n'y a pas qu'une seule configuration correcte. Il est donc recommandé de surveiller le comportement dans votre environnement et de déterminer décider si une configuration différente des
rapports est plus appropriée.
Les rapports n'exécutent pas des actions sur les objets. Ils transmettent les informations à une couche de protection. C'est celle-ci qui prend des mesures en conséquence.
Offensif
Rapports configurés sur une sensibilité maximale. D’autres détections sont signalées. Alors que le paramètre Offensif peut sembler être le plus sûr, il peut souvent être trop
sensible, ce qui peut être contre-productif.
Le paramètre Offensif peut identifier à tort des objets comme étant malveillants. Des actions seront alors exécutées sur ces objets (selon les paramètres de protection).
Équilibré
Cette configuration offre un équilibre optimal entre les performances et la précision des taux de détection et le nombre d'objets signalés à tort.
Prudent
Rapports configurés pour réduire le nombre d'objets identifiés à tort tout en maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est
évidente et correspond à un comportement malveillant.
Désactivée
La création de rapports n’est pas active. Aucune détection n’est effectuée, signalée ou nettoyée.
Les rapports sur les logiciels malveillants ne peuvent pas être désactivés. Le paramètre Désactivée n’est donc pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
Protection
Lorsqu’un objet est signalé en fonction de la configuration ci-dessus et des résultats de l’apprentissage machine, il est bloqué. Une action est en outre exécutée (nettoyé, supprimé ou déplacé vers la
quarantaine).
Offensif
Les détections du niveau Offensif (ou d'un niveau inférieur) signalées sont bloquées et la correction automatique (le nettoyage) est commencée.
Équilibré
Les détections du niveau Équilibré (ou d'un niveau inférieur) signalées sont bloquées et la correction automatique (le nettoyage) est commencée.
Prudent
Les détections du niveau Prudent signalées sont bloquées et la correction automatique (le nettoyage) est commencée.
Désactivée
La création de rapports n’est pas active. Aucune détection n’est effectuée, signalée ou nettoyée.
Les rapports sur les logiciels malveillants ne peuvent pas être désactivés. Le paramètre Désactivée n’est donc pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
Par défaut, les paramètres ci-dessous de la protection par apprentissage machine s’appliquent également à
l’analyse de l’ordinateur à la demande. Si nécessaire, vous pouvez configurer séparément les paramètres
de réponses à la demande et aux détections. Cliquez sur l’icône de bouton bascule pour désactiver l’option
Utiliser les configurations de protection en temps réel et continuez la configuration.
Détection par l'apprentissage machine
Le moteur de détection vous protège des attaques malveillantes contre le système en analysant les échanges de
fichiers et d'e-mails, ainsi que les communications Internet. Si un objet classé comme logiciel malveillant est
détecté, la correction commencera. Le moteur de détection peut l'éliminer en le bloquant dans un premier
temps, puis en exécutant une action comme le nettoyage, la suppression ou la mise en quarantaine.
Protection en temps réel et par apprentissage machine
171
L’apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue couche avancée de
protection qui améliore la détection basée sur l’apprentissage machine. Pour en savoir plus sur ce type de
protection, consultez le glossaire. Vous pouvez configurer les niveaux de protection et de rapport des catégories
suivantes :
Logiciel malveillant
Un virus informatique est un fragment de code malveillant ajouté à des fichiers qui sont sur votre ordinateur. Le
terme « virus » est souvent utilisé de manière incorrecte. Le terme « logiciel malveillant » (malware, en anglais)
est plus précis. La détection des logiciels malveillants est effectuée par le module du moteur de détection associé
au composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'objectif n'est pas nécessairement malveillant. Il
peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de l'appareil numérique,
effectuer des activités non approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs flous.
Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres
d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, etc. Pour en savoir plus
sur ces types d'applications, consultez le glossaire.
Applications potentiellement suspectes
Une application suspecte est un logiciel compressé par des compresseurs ou des programmes de protection qui
est souvent utilisée pour décourager l'ingénierie inverse ou pour obfusquer le contenu de l'exécutable (pour
masquer la présence de logiciels malveillants par exemple) par des méthodes propriétaires de compression et/ou
chiffrement.
Cette catégorie comprend les éléments suivants : toutes les applications inconnues compressées à l'aide d'un
compresseur ou d'un programme de protection fréquemment utilisées pour compresser les logiciels malveillants.
Applications potentiellement dangereuses
Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles d'être utilisés à des fins
malveillantes. Les applications dangereuses sont des logiciels commerciaux authentiques susceptibles d'être
utilisés à des fins malveillantes.
Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les outils de piratage, les
programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes qui
enregistrent chaque frappe au clavier de l'utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire.
Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour les rapports ou la protection d'une
catégorie :
Rapports
172
La création de rapports est effectuée par le moteur de détection et le composant d'apprentissage machine. Vous pouvez définir le seuil des rapports pour les adapter à votre environnement et à vos
besoins. Il n'y a pas qu'une seule configuration correcte. Il est donc recommandé de surveiller le comportement dans votre environnement et de déterminer décider si une configuration différente des
rapports est plus appropriée.
Les rapports n'exécutent pas des actions sur les objets. Ils transmettent les informations à une couche de protection. C'est celle-ci qui prend des mesures en conséquence.
Offensif
Rapports configurés sur une sensibilité maximale. D’autres détections sont signalées. Alors que le paramètre Offensif peut sembler être le plus sûr, il peut souvent être trop
sensible, ce qui peut être contre-productif.
Le paramètre Offensif peut identifier à tort des objets comme étant malveillants. Des actions seront alors exécutées sur ces objets (selon les paramètres de protection).
Équilibré
Cette configuration offre un équilibre optimal entre les performances et la précision des taux de détection et le nombre d'objets signalés à tort.
Prudent
Rapports configurés pour réduire le nombre d'objets identifiés à tort tout en maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est
évidente et correspond à un comportement malveillant.
Désactivée
La création de rapports n’est pas active. Aucune détection n’est effectuée, signalée ou nettoyée.
Les rapports sur les logiciels malveillants ne peuvent pas être désactivés. Le paramètre Désactivée n’est donc pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
Protection du transport des messages et par apprentissage machine
173
Rapports
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute
pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives).
Protection
Configurez les paramètres de la protection du transport des messages pour influencer l’action exécutée sur les
objets signalés. Vous pouvez également configurer une règle personnalisée :
Exemple d'installation minimale :
Objectif : Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe protégée par mot
de passe, endommagée ou chiffrée
Créez la règle suivante pour la protection du transport des messages :
Condition
Type : Résultat de l'analyse antivirus
Opération : est
Paramètre : Infecté - nettoyage non effectué
Action
Type : Message en quarantaine
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de
demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP.
Ouvrez eShell en mode interactif et accéder à MLP :
server av transport mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
Protection de base de données de boîtes aux lettres et par apprentissage machine
174
Rapports
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute
pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives).
Protection
Configurez les paramètres de la protection de base de données de boîtes aux lettres pour influencer l’action
exécutée sur les objets signalés.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de
demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP.
Ouvrez eShell en mode interactif et accéder à MLP :
server av database mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
Analyse de base de données de boîtes aux lettres à la demande et protection par apprentissage machine
Rapports
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création de rapports n'exécute
pas des actions sur les objets (cette opération est effectuée par les couches de protection respectives).
Protection
Configurez les paramètres de l'analyse de base de données de boîtes aux lettres à la demande pour influencer
l’action exécutée sur les objets signalés.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur la flèche en forme de
demi-tour à côté de l’en-tête de section. Toutes les modifications que vous avez apportées dans cette section
seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte dans eShell est MLP.
Ouvrez eShell en mode interactif et accéder à MLP :
server av on-demand mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
Exclusions
Les exclusions permettent d'exclure des fichiers et dossiers de l'analyse. Pour que la détection des menaces
s'applique bien à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela s'avère
absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de
bases de données volumineuses risquent de ralentir le serveur pendant l'analyse ou lorsqu'il peut y avoir conflit
entre le logiciel et l'analyse (par exemple, logiciel de sauvegarde).
À ne pas confondre avec les extensions exclues, les exclusions des processus et le filtre d'exclusion.
175
une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers
en temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères
d'exclusion de l'analyse.
Sélectionnez le type d'exclusion, puis cliquez sur Modifier pour en ajouter un autre ou modifier un type existant :
• Exclusions de performance : permet d'exclure des fichiers et des dossiers de l’analyse.
• Exclusions de détection : permet d'exclure les objets de l’analyse à l’aide de critères spécifiques : chemin,
hachage du fichier ou nom de la détection.
Exclusions de performance
Cette fonctionnalité permet d’exclure des fichiers et des dossiers de l’analyse. Les exclusions de performance
s'avèrent utiles pour exclure de l'analyse au niveau des fichiers des applications critiques ou en cas de
comportement anormal du système ou de baisse de performances lors de l'analyse.
Chemin d'accès
Exclut un chemin d'accès spécifique (fichier ou répertoire) pour cet ordinateur. N'utilisez pas de caractères
génériques ni d'astérisque (*) au milieu d'un chemin. Pour plus d'informations, consultez cet article de la base de
connaissances .
Pour exclure le contenu d'un dossier, n'oubliez pas d'ajouter un astérisque (*) à la fin du chemin
(C:\Tools\*).
C:\Tools ne sera pas exclu, car du point de vue de l'analyseur, Tools peut être également un nom de fichier.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir.
Exclusions de chemin utilisant un astérisque :
C:\Tools\* : le chemin doit se terminer par une barre oblique inverse (*) et un astérisque (\) pour indiquer
qu'il s'agit d'un dossier. Tout le contenu du dossier (fichiers et sous-dossiers) sera exclu.
C:\Tools\*.* : même comportement que C:\Tools\*, ce qui signifie un fonctionnement récursif.
C:\Tools\*.dat : exclura les fichiers dat du dossier Tools.
C:\Tools\sg.dat : exclura ce fichier spécifique, situé sur le chemin exact.
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le masque « *.* ».
Pour exclure les fichiers doc uniquement, utilisez le masque *.doc.
Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne
connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants/inconnus.)
176
Utilisez des variables système telles que %PROGRAMFILES% pour définir des exclusions d'analyse.
Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin d'accès
%PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
Pour exclure tous les fichiers d'un sous-répertoire %HOMEDRIVE%, utilisez le chemin d'accès
%HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées au format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (comme %TEMP% ou %USERPROFILE%) et les variables
d'environnement (comme %PATH%) ne sont pas prises en charge.
Exclusions de détection
Il s'agit d'une autre méthode pour exclure des objets de l'analyse, à l'aide du nom de la détection, du chemin ou
du hachage. Les exclusions de détection n'excluent pas les fichiers et les dossiers de l'analyse (comme le font les
exclusions de performance). Elles excluent les objets uniquement lorsqu'ils sont détectés par le moteur de
détection et que la liste des exclusions contient une règle appropriée.
La méthode la plus simple pour créer une exclusion basée sur la détection consiste à utiliser une détection
existante à partir de Fichiers journaux > Détections. Cliquez avec le bouton droit sur une entrée de journal
(détection), puis cliquez sur Créer une exclusion. L'assistant d’exclusion s'ouvre alors avec des critères prédéfinis.
Pour créer manuellement une exclusion de détection, cliquez sur Modifier > Ajouter (ou Modifier lors de la
modification d'une exclusion existante), puis spécifiez l'un ou plusieurs des critères suivants (ils peuvent être
combinés) :
Chemin d'accès
Exclut un chemin d'accès spécifique (fichier ou répertoire). Vous pouvez rechercher un emplacement/fichier
spécifique ou saisir la chaîne manuellement. N'utilisez pas de caractères génériques ni d'astérisque (*) au milieu
d'un chemin. Pour plus d'informations, consultez cet article de la base de connaissances .
Pour exclure le contenu d'un dossier, n'oubliez pas d'ajouter un astérisque (*) à la fin du chemin
(C:\Tools\*).
C:\Tools ne sera pas exclu, car du point de vue de l'analyseur, Tools peut être également un nom de fichier.
Hachage
Exclut un fichier selon le hachage spécifié (SHA1), indépendamment du type, de l'emplacement, du nom ou de
l'extension du fichier.
177
Nom de la détection
Entrez un nom de détection (menace) valide. La création d’une exclusion basée uniquement sur le nom de la
détection peut présenter un risque de sécurité. Il est conseillé de combiner le nom de la détection avec le chemin
d’accès. Ce critère d’exclusion ne peut être utilisé que pour certains types de détections.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir.
ESET PROTECT comprend la gestion des exclusions de détection qui permet de créer des exclusions de détection
et des les appliquer à d’autres ordinateurs/groupes.
Vous pouvez utiliser des caractères génériques pour indiquer un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère
ou plus.
Exclusions de chemin utilisant un astérisque :
C:\Tools\* : le chemin doit se terminer par une barre oblique inverse (*) et un astérisque (\) pour indiquer
qu'il s'agit d'un dossier. Tout le contenu du dossier (fichiers et sous-dossiers) sera exclu.
C:\Tools\*.* : même comportement que C:\Tools\*, ce qui signifie un fonctionnement récursif.
C:\Tools\*.dat : exclura les fichiers dat du dossier Tools.
C:\Tools\sg.dat : exclura ce fichier spécifique, situé sur le chemin exact.
Pour exclure une menace, entrez un nom de détection valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le masque « *.* ».
Pour exclure les fichiers doc uniquement, utilisez le masque *.doc
Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne
connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants/inconnus.)
178
Utilisez des variables système telles que %PROGRAMFILES% pour définir des exclusions d'analyse.
Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin d'accès
%PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
Pour exclure tous les fichiers d'un sous-répertoire %HOMEDRIVE%, utilisez le chemin d'accès
%HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées au format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (comme %TEMP% ou %USERPROFILE%) et les variables
d'environnement (comme %PATH%) ne sont pas prises en charge.
Assistant Créer une exclusion
L’exclusion recommandée est présélectionnée en fonction du type de détection, mais vous pouvez spécifier des
critères d’exclusion pour les détections. Cliquez sur Modifier les critères :
• Fichiers exacts : permet d'exclure chaque fichier par son hachage SHA-1.
• Détection : spécifiez le nom de la détection pour exclure chaque fichier contenant celle-ci.
• Chemin d’accès + détection : spécifiez le nom et le chemin d’accès de la détection (y compris le nom du
fichier) pour exclure chaque fichier contenant une détection située à l’emplacement spécifié.
Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir.
Options avancées
Technologie Anti-Stealth
Système sophistiqué qui détecte les programmes dangereux, comme les rootkits, qui peuvent se cacher du
système d'exploitation. Ces types de programmes sont généralement indétectables à l'aide de techniques
standard.
AMSI
Permet de laisser l'interface AMSI (Antimalware Scan Interface) analyser des scripts PowerShell exécutés par
l'environnement d'exécution de scripts WSH (Windows Script Host).
179
Exclusions automatiques
Les développeurs d'applications et de systèmes d'exploitation serveur recommandent d'exclure des analyses des
logiciels malveillants les ensembles de dossiers et fichiers de travail critiques pour la plupart de leurs produits. Les
analyses des logiciels malveillants peuvent avoir une influence négative sur les performances d'un serveur, ce qui
peut provoquer des conflits et même empêcher l'exécution de certaines applications sur le serveur. Les exclusions
permettent de réduire le risque de conflits potentiels et d'augmenter les performances globales du serveur lors
de l'exécution du logiciel anti-logiciels malveillants. Consultez la liste complète des fichiers exclus de l'analyse des
produits serveur ESET.
La fonctionnalité d'exclusion automatique est activée lorsque vous activez ESET Mail Security avec une licence
valide et que vous effectuez la mise à jour initiale afin d’inclure les derniers modules.
Les exclusions automatiques pour les fichiers de base de données Microsoft SQL Server fonctionnent pour
l’emplacement par défaut. Si vous avez des bases de données Microsoft SQL Server à des emplacements
différents (autres que l’emplacement par défaut), vous avez deux possibilités. Ajoutez manuellement les
exclusions ou excluez automatiquement les fichiers de base de données. Pour l’exclusion automatique,
ESET Mail Security nécessite un accès en lecture à l’instance Microsoft SQL Server pour rechercher les
chemins d’accès utilisés pour les fichiers de base de données. Si ESET Mail Security affiche un message
d’erreur en raison de droits insuffisants, résolvez-le en accordant l’autorisation Afficher n'importe quelle
définition du compte NT_AUTHORITY\SYSTEM à chaque instance Microsoft SQL Server que vous exécutez
sur le serveur avec ESET Mail Security.
Pour plus d’informations, consultez l’article de la base de connaissances sur la façon d'ajouter l’autorisation
d’obtenir des emplacements de données de base de données pour générer des exclusions automatiques
pour Microsoft SQL Server.
ESET Mail Security identifie les applications serveur et les fichiers du système d’exploitation serveur critiques, puis
les ajoute automatiquement à la liste des exclusions. Toutes les exclusions automatiques sont activées par défaut.
Vous pouvez désactiver/activer chaque exclusion d'applications serveur à l’aide de la barre du curseur afin
d'obtenir le résultat suivant :
• Lorsque cette option est activée, les fichiers et dossiers critiques sont ajoutés à la liste des fichiers exclus
de l’analyse. À chaque redémarrage du serveur, le système vérifie automatiquement les exclusions et met à
jour la liste en cas de modification du système ou des applications (lors de l’installation d’une nouvelle
application serveur, par exemple). Ce paramètre garantit que les exclusions automatiques recommandées
sont toujours appliquées.
• Lorsque cette option est désactivée, les fichiers et dossiers exclus automatiquement sont supprimés de la
liste. Les exclusions définies par l’utilisateur et saisies manuellement ne seront pas affectées.
Les exclusions automatiques pour les serveurs Exchange Server reposent sur les recommandations de Microsoft.
ESET Mail Security applique uniquement des exclusions de répertoire/fichier (les exclusions des processus et les
exclusions des extensions de nom de fichier ne sont pas appliquées). Pour plus d'informations, consultez les
articles suivants de la base de connaissances Microsoft :
Update on the Exchange Server Antivirus Exclusions (article en anglais)
Recommandations d'analyse antivirus pour les ordinateurs d'entreprise qui exécutent les versions de Windows
prises en charge
Analyse antivirus au niveau fichier sur Exchange 2010
180
Logiciel antivirus du système d'exploitation sur les serveurs Exchange (Exchange 2013)
Exécution d'un logiciel antivirus Windows sur les serveurs Exchange 2016
Il existe également des exclusions de fichier de base de données Exchange pour les bases de données
actives et passives du groupe de disponibilité de base de données hébergé sur le serveur local. La liste des
exclusions automatiques est mise à jour toutes les 30 minutes. Si un fichier de base de données Exchange
est créé, il est automatiquement exclu indépendamment de son état, qu'il soit actif ou passif.
Pour identifier et générer des exclusions automatiques, ESET Mail Security utilise une application dédiée,
eAutoExclusions.exe, située dans le dossier d’installation. Aucune interaction n’est nécessaire, mais vous pouvez
utiliser la ligne de commande pour répertorier les applications serveur détectées sur votre système en exécutant
la commande eAutoExclusions.exe -servers. Pour afficher la syntaxe complète, utilisez la commande
eAutoExclusions.exe -?.
Compte disposant d'autorisations avec élévation de privilèges
Cette fonctionnalité autorise ESET Mail Security à générer d'autres exclusions pour des ressources telles que des
partages réseau, des emplacements de fichiers de base de données Microsoft SQL Server ou le stockage de
fichiers partagés de Skype Entreprise. Pour étendre la fonctionnalité des exclusions automatiques, activez le
compte disposant d'autorisations avec élévation de privilèges et saisissez le nom d'utilisateur et le mot de passe
de votre domaine ou de votre compte d'administrateur local. Vous pouvez créer un nouveau compte dédié à
cette fin si vous le souhaitez, mais vérifiez que le compte est un membre du groupe Administrateurs intégré (BA)
du domaine ou du groupe Administrateurs local.
Une infiltration est détectée
Des infiltrations peuvent atteindre le système à partir de différents points d'entrée : pages Web, dossiers
partagés, courrier électronique ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.).
Comportement standard
Pour illustrer de manière générale la prise en charge des infiltrations par ESET Mail Security, celles-ci peuvent être
détectées à l'aide de :
• Protection en temps réel du système de fichiers
• Protection de l’accès Web
• Protection du client de messagerie
• Analyse de l’ordinateur à la demande
Chaque fonction utilise le niveau de nettoyage standard et tente de nettoyer le fichier et de le déplacer en
Quarantaine ou met fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans
l'angle inférieur droit de l'écran. Pour plus d'informations sur les niveaux et le comportement de nettoyage, voir
Nettoyage.
Nettoyage et suppression
Si aucune action n'est prédéfinie pour le module de protection en temps réel du système de fichiers, vous êtes
invité à sélectionner une option dans une fenêtre d'avertissement. Généralement, les options Nettoyer,
181
Supprimer et Aucune action sont disponibles. Il n'est pas recommandé de sélectionner Aucune action, car cette
option laissera les fichiers infectés non nettoyés. La seule exception concerne les situations où vous êtes sûr qu'un
fichier est inoffensif et qu'il a été détecté par erreur.
Utilisez le nettoyage si un fichier sain a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas,
essayez de nettoyer le fichier infecté pour le restaurer dans son état d'origine. Si le fichier se compose
uniquement de code malveillant, il est supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus système, il n'est généralement supprimé qu'après
avoir été déverrouillé (normalement, après un redémarrage du système).
Menaces multiples
Si des fichiers infectés n'ont pas été nettoyés durant une analyse de l'ordinateur (ou si le niveau de nettoyage a
été défini sur Pas de nettoyage), une fenêtre d'alerte s'affiche ; elle vous invite à sélectionner des actions pour
ces fichiers.
Vous pouvez également utiliser l'option Sélectionnez une action pour toutes les menaces répertoriées, choisir
dans la liste une action à exécuter sur toutes les menaces et cliquer sur Terminer.
Suppression de fichiers dans les archives
En mode de nettoyage par défaut, l'archive complète n'est supprimée que si elle ne contient que des fichiers
infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent également
des fichiers sains.
Soyez prudent si vous choisissez un nettoyage strict ; dans ce mode, une archive sera supprimée si elle contient
au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
Protection en temps réel du système de fichiers
La protection en temps réel du système de fichiers contrôle tous les événements liés à l'antivirus dans le système.
Lorsque ces fichiers sont ouverts, créés ou exécutés sur l'ordinateur, elle les analyse pour y rechercher la
présence éventuelle de code malveillant. La protection en temps réel du système de fichiers est lancée au
démarrage du système.
Dans certains cas particuliers (par exemple, en cas de conflit avec un autre scanner en temps réel), la protection
en temps réel peut être désactivée en désélectionnant Démarrer automatiquement la protection en temps réel
du système de fichiers sous Protection en temps réel du système de fichiers > Général dans Configuration
avancée (F5).
ESET Mail Security est compatible avec les ordinateurs utilisant l'agent Azure File Sync avec la hiérarchisation
cloud activée. ESET Mail Security reconnaît les fichiers avec l'attribut
FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS.
Supports à analyser
Par défaut, tous les types de supports font l'objet de recherches de menaces potentielles :
• Disques locaux - Contrôle tous les disques durs système.
• Supports amovibles - Contrôle les CD/DVD, les périphériques USB, les périphériques Bluetooth, etc.
182
• Disques réseau - Analyse tous les lecteurs mappés.
Il est recommandé d'utiliser les paramètres par défaut et de ne les modifier que dans des cas spécifiques, par
exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données.
Analyser quand
Par défaut, tous les fichiers sont analysés lors de leur ouverture, création ou exécution. Il est recommandé de
conserver ces paramètres par défaut, car ils offrent le niveau maximal de protection en temps réel pour votre
ordinateur :
• Ouverture de fichier - L'analyse est effectuée lorsque des fichiers sont ouverts.
• Création de fichier - L'analyse est effectuée lorsque des fichiers sont créés.
• Exécution de fichier - L'analyse est effectuée lorsque des fichiers sont exécutés.
• Accès aux appareils amovibles - L'analyse est effectuée lors de l'accès à des supports de stockage
amovibles. Lorsqu'un appareil amovible contenant un secteur d'amorçage est inséré dans l'appareil, le
secteur d'amorçage est immédiatement analysé. Cette option n'active pas l'analyse des fichiers des
appareils amovibles. Pour l'activer, accédez à Supports à analyser > Appareils amovibles. Pour que l'accès
au secteur de démarrage des appareils amovibles fonctionne correctement, conservez l'option Secteurs
d'amorçage/UEFI activée dans les paramètres ThreatSense.
Exclusions des processus
Permet d'exclure des processus spécifiques. Vous pouvez par exemple exclure les processus de la solution de
sauvegarde. Toutes les opérations sur les fichiers de ces processus exclus sont ainsi ignorées et considérées
comme étant sûres, ce qui limite l'interférence avec le processus de sauvegarde.
Paramètres ThreatSense
La protection en temps réel du système de fichiers vérifie tous les types de supports. Elle est déclenchée par
différents événements système, tels que l'accès à un fichier. La protection du système de fichiers en temps réel
peut être configurée pour traiter différemment les nouveaux fichiers et les fichiers existants. Par exemple, vous
pouvez configurer la protection en temps réel du système de fichiers pour surveiller plus étroitement les
nouveaux fichiers.
Pour garantir un impact minimal de la protection en temps réel sur le système, les fichiers déjà analysés ne sont
pas analysés plusieurs fois (sauf s'ils ont été modifiés). Les fichiers sont immédiatement réanalysés après chaque
mise à jour de la base du moteur de détection. Ce comportement est contrôlé à l'aide de l'optimisation
intelligente. Si l'optimisation intelligente est désactivée, tous les fichiers sont analysés à chaque accès.
Pour modifier ce paramètre, appuyez sur F5 pour ouvrir Configuration avancée, puis développez Computer >
Protection en temps réel du système de fichiers. Cliquez ensuite sur Paramètres ThreatSense > Autre, puis
sélectionnez ou désélectionnez Activer l'optimisation intelligente.
Autres paramètres ThreatSense
Vous pouvez modifier des options détaillées des Autres paramètres ThreatSense pour les nouveaux fichiers et
les fichiers modifiés ou des Autres paramètres ThreatSense pour les fichiers exécutés.
183
ThreatSenseParamètres
ThreatSense est une technologie constituée de nombreuses méthodes complexes de détection de menaces. C'est
une technologie proactive : elle fournit une protection dès le début de la propagation d'une nouvelle menace. Elle
utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de
virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de
contrôler plusieurs flux de données simultanément, ce qui maximise l'efficacité et le taux de détection. La
technologie ThreatSense élimine avec succès les rootkits.
pour plus de détails sur la vérification automatique des fichiers au démarrage, consultez la section Analyse
au démarrage.
Les options de configuration du moteur ThreatSense permettent de spécifier plusieurs paramètres d'analyse :
• Les types de fichiers et les extensions à analyser
• la combinaison de plusieurs méthodes de détection ;
• Les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du moteur ThreatSense dans la
fenêtre Configuration avancée (F5) de chaque module utilisant la technologie ThreatSense (voir ci-dessous).
Chaque scénario de sécurité peut exiger une configuration différente. ThreatSense Est configurable
individuellement pour les modules de protection suivants :
• Protection du transport des messages
• Protection de la base de données de boîtes aux lettres à la demande
• Protection de la base de données de boîtes aux lettres
• Analyse Hyper-V
• Protection en temps réel du système de fichiers
• Analyses des logiciels malveillants
• Analyse en cas d’inactivité
• Analyse au démarrage
• Protection des documents
• Protection du client de messagerie
• Protection de l’accès Web
Les paramètres ThreatSense sont spécifiquement optimisés pour chaque module et leur modification peut avoir
une incidence significative sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour
toujours analyser les fichiers exécutables compressés par un compresseur d'exécutables ou pour autoriser
l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez dégrader les
performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il
184
est donc recommandé de ne pas modifier les paramètres par défaut de ThreatSense pour tous les modules, à
l'exception du module Analyse de l'ordinateur.
Objets à analyser
Cette section permet de définir les fichiers et les composants de l'ordinateur qui vont faire l'objet d'une analyse
visant à rechercher une éventuelle infiltration.
Mémoire vive
Lance une analyse visant à rechercher les menaces qui attaquent la mémoire vive du système.
Secteurs d'amorçage/UEFI
Analyse les secteurs d'amorçage afin de détecter la présence éventuelle de virus dans le MBR (Master Boot
Record, enregistrement d'amorçage principal). Dans le cas d'une machine virtuelle Hyper-V, le MBR du disque est
analysé en mode lecture seule.
Base de données WMI
Analyse la base de données WMI complète, à la recherche de références à des fichiers infectés ou des logiciels
malveillants intégrés en tant que données.
Registre système
Analyse le registre système, toutes les clés et les sous-clés. Recherche des références à des fichiers infectés ou des
logiciels malveillants intégrés en tant que données.
Fichiers de courrier électronique
Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives
Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA,
MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et de nombreuses autres extensions.
Archives auto-extractibles
Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés, archives, pour être
décompressées.
Fichiers exécutables compressés
Contrairement aux archiveurs standard, ces fichiers se décompressent en mémoire. Outre les compacteurs
statiques standard (UPX, yoda, ASPack, FSG, etc.), l'analyseur peut reconnaître plusieurs autres types de
compacteurs via l'utilisation de l'émulation de code.
Pour la fonctionnalité de protection de la base de données de boîtes aux lettres, les fichiers joints aux
messages électroniques (.eml files, par exemple) sont analysés quel que soit le paramètre sous Objets à
analyser. En effet, Exchange Server analyse un fichier .eml joint avant qu'il ne soit soumis pour analyse par
ESET Mail Security. Le plug-in VSAPI obtient les fichiers extraits de la pièce jointe .eml au lieu de recevoir le
fichier .eml d'origine.
Options d'analyse
Sélectionnez les méthodes à utiliser lors de la recherche d'infiltrations dans le système. Les options disponibles
sont les suivantes :
Heuristique
La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Elle présente
l'avantage d'identifier un code malveillant qui n'existait pas ou qui n'était pas connu par le moteur de détection
précédent.
Heuristique avancée/Signatures ADN
La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la détection
des vers informatiques et des chevaux de Troie, et écrit dans un langage de programmation de haut niveau.
L'utilisation de la méthode heuristique avancée accroît de manière significative les possibilités de détection des
menaces des produits ESET. Les signatures peuvent détecter et identifier les virus avec grande efficacité. Grâce au
système de mise à jour automatique, les nouvelles signatures peuvent être disponibles dans les quelques heures
qui suivent la détection des menaces. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles
connaissent (ou leurs versions légèrement modifiées).
Nettoyage
185
Les paramètres de nettoyage déterminent le comportement de l’analyseur lors du nettoyage des fichiers infectés.
La protection en temps réel et les autres modules de protection ont les niveaux de correction (c'est-à-dire de
nettoyage) ci-après.
Toujours résoudre la détection
Tentative de correction de la détection tout en nettoyant les objets sans aucune intervention de l’utilisateur. Les
fichiers système sont une exception : ces objets sont laissés à leur emplacement d'origine si la détection ne peut
pas être corrigée.
Résoudre la détection si cette opération est sûre, sinon conserver
Tentative de correction de la détection tout en nettoyant les objets sans aucune intervention de l’utilisateur. Si
une détection ne peut pas être corrigée pour des fichiers système ou des archives (avec des fichiers on infectés et
infectés), l'objet signalé est conservé à son emplacement d'origine.
Résoudre la détection si cette opération est sûre, sinon demander
Tentative de correction de la détection lors du nettoyage des objets. Dans certains cas, si ESET Mail Security ne
peut pas effectuer d'action automatique, vous serez invité à en choisir une (supprimer ou ignorer). Ce paramètre
est recommandé dans la plupart des cas.
Toujours demander à l'utilisateur final
Aucune action automatique ne sera effectuée par ESET Mail Security. Vous serez invité à en choisir une.
Exclusions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette
section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de
l'analyse.
Autre
Lorsque vous configurez les paramètres du moteur ThreatSense pour l'analyse à la demande d'un ordinateur,
vous disposez également des options de la section Autre suivantes :
Analyser les flux de données alternatifs (ADS)
Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de
dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations
tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible
Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des
programmes qui exigent une grande quantité de ressources système, vous pouvez activer l’analyse en arrièreplan à faible priorité de manière à réserver des ressources pour vos applications.
Consigner tous les objets
Si cette option est sélectionnée, le fichier journal affiche tous les fichiers analysés, même ceux qui ne sont pas
infectés.
Activer l’optimisation intelligente
Lorsque cette option est sélectionnée, les paramètres optimaux sont utilisés de manière à garantir le niveau
d'analyse le plus efficace tout en conservant la meilleure vitesse d'analyse. Les différents modules de protection
proposent une analyse intelligente en utilisant différentes méthodes et en les appliquant à des types de fichiers
spécifiques. Si l'option Optimisation intelligente est désactivée, seuls les paramètres définis par l'utilisateur dans
le noyau ThreatSense de ces modules particuliers sont appliqués lors de la réalisation d'une analyse.
Conserver la date et l’heure du dernier accès
Sélectionnez cette option pour conserver l'heure d'accès d'origine des fichiers analysés au lieu de les mise à jour
(par exemple, pour les utiliser avec des systèmes de sauvegarde de données).
Limites
186
La section Limites permet de spécifier la taille maximale des objets et les niveaux d'imbrication des archives à
analyser :
Paramètres d'objet par défaut
Permet d'utiliser les paramètres par défaut (aucune limite). ESET Mail Security ignorera les paramètres
personnalisés.
Taille d’objet maximale
Définit la taille maximale des objets à analyser. Le module de protection n'analyse que les objets d'une taille
inférieure à celle spécifiée. Cette option ne doit être modifiée que par des utilisateurs expérimentés et qui ont
des raisons particulières d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimité.
Durée d'analyse maximale par l'objet
Définit la durée maximum attribuée à l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur,
le module de protection cesse d'analyser un objet une fois ce temps écoulé, que l'analyse soit terminée ou non.
Valeur par défaut : illimité.
Configuration de l'analyse d'archive
Pour modifier les paramètres d'analyse d'archive, désélectionnez l'option Paramètres d'analyse d'archive par
défaut.
Niveau d’imbrication des archives
Niveau d'imbrication des archives - Spécifie la profondeur maximale d'analyse des archives. Valeur par défaut :
10. Pour les objets détectés par la protection du transport des messages, le niveau d'imbrication actuel est +1, car
la pièce jointe d'archive dans un message est considérée comme étant du premier niveau.
Si le niveau d'imbrication est défini sur 3, un fichier d'archive avec un niveau d'imbrication de 3 ne sera
analysé sur une couche de transport que jusqu'à son niveau 2. Par conséquent, si vous souhaitez que les
archives soient analysées jusqu'au niveau 3, définissez la valeur de Niveau d'imbrication des archives sur 4.
Taille maximale du fichier dans l'archive
Cette option permet de spécifier la taille maximale des fichiers (après extraction) à analyser contenus dans les
archives. Valeur par défaut : illimité.
il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a
aucune raison de le faire.
Autres paramètres ThreatSense
Autres paramètres ThreatSense pour les nouveaux fichiers et les fichiers modifiés
La probabilité d'infection des nouveaux fichiers ou des fichiers modifiés est comparativement plus élevée que
dans les fichiers existants. C'est la raison pour laquelle le programme vérifie ces fichiers avec des paramètres
d'analyse supplémentaires. Outre les méthodes d'analyse basées sur les signatures, le système utilise également
l'heuristique avancée qui permet de détecter les nouvelles menaces avant la mise à disposition de la mise à jour
des modules. Outre les nouveaux fichiers, l'analyse porte également sur les fichiers auto-extractibles (.sfx) et les
compresseurs (fichiers exécutables compressés en interne).
Par défaut, les archives sont analysées jusqu'au dixième niveau d'imbrication et sont contrôlées indépendamment
de leur taille réelle. Pour modifier les paramètres de l'analyse des archives, désactivez Paramètres de l'analyse
des archives par défaut.
Autres paramètres ThreatSense pour les fichiers exécutés
Par défaut, l'heuristique avancée n'est pas utilisée lors de l'exécution des fichiers. Lorsque ce paramètre est
activé, il est vivement recommandé de conserver les options Optimisation intelligente et ESET LiveGrid® activées
pour limiter l'impact sur les performances système.
187
Extensions de fichier exclues de l'analyse
L'extension est la partie du nom de fichier située après le point. Elle définit le type du fichier. Normalement, tous
les fichiers sont analysés. Si vous devez toutefois exclure des fichiers dotés d'une extension spécifique, la
configuration du paramètre ThreatSense permet d'exclure des fichiers de l'analyse selon leur extension.
L'exclusion peut être utile si l'analyse de certains types de fichiers provoque un dysfonctionnement de
l'application.
Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter. Tapez l'extension dans le champ
correspondant (tmp, par exemple), puis cliquez sur OK. Lorsque vous sélectionnez Entrer plusieurs valeurs,
vous pouvez ajouter plusieurs extensions de fichier en les séparant par des lignes, des virgules ou des
points-virgules (sélectionnez par exemple Point-virgule en tant que séparateur dans le menu déroulant,
puis tapez edb;eml;tmp).
Vous pouvez utiliser le symbole spécial ? (point d'interrogation). Le point d'interrogation symbolise
n'importe quel caractère (?db, par exemple).
Pour afficher l'extension (type de fichier) de tous les fichiers sous un système d'exploitation Windows,
décochez Masquer les extensions des fichiers dont le type est connu dans Panneau de configuration >
Options des dossiers > Affichage.
Exclusions des processus
La fonctionnalité Exclusions des processus permet d'exclure des processus d'application de l'analyse des logiciels
malveillants lors de l'accès uniquement. En raison du rôle essentiel que jouent les serveurs dédiés (serveur
d'applications, serveur de stockage, etc.), des sauvegardes régulières sont obligatoires pour garantir une reprise
après incident dans les meilleurs délais.
Pour accélérer les sauvegardes et garantir l'intégrité du processus et la disponibilité du service, certaines
techniques, qui entrent en conflit avec la protection contre les logiciels malveillants au niveau des fichiers, sont
utilisées pendant les sauvegardes. Des problèmes identiques peuvent se produire lors des migrations dynamiques
de machines virtuelles.
La seule solution efficace pour éviter ces situations consiste à désactiver le logiciel de protection contre les
programmes malveillants. En excluant des processus spécifiques (ceux de la solution de sauvegarde, par
exemple), toutes les opérations sur les fichiers de ces processus exclus sont ainsi ignorées et considérées comme
étant sûres, ce qui limite l'interférence avec le processus de sauvegarde. Il est recommandé de faire preuve de
prudence lors de la création des exclusions. En effet, un outil de sauvegarde qui a été exclus peut accéder à des
fichiers infectés sans déclencher d'alerte. C'est d'ailleurs la raison pour laquelle des autorisations étendues ne
sont permises que dans le module de protection en temps réel.
Les exclusions des processus réduisent le risque de conflits potentiels et augmentent les performances des
applications exclues, ce qui a un effet positif sur les performances et la stabilité globales du système
d'exploitation. L'exclusion d'un processus/d'une application est l'exclusion de son fichier exécutable (.exe).
Vous pouvez ajouter des fichiers exécutables à la liste des processus exclus via Configuration avancée (F5) >
Computer > Protection en temps réel du système de fichiers > Général > Exclusion des processus ou en utilisant
la liste des processus en cours dans le menu principal Outils > Processus en cours.
Cette fonctionnalité a été conçue pour exclure les outils de sauvegarde. L'exclusion de l'outil de sauvegarde du
processus d'analyse garantit non seulement la stabilité du système, mais aussi les performances de la sauvegarde,
188
car celle-ci n'est pas ralentie pendant son exécution.
Cliquez sur Modifier pour ouvrir la fenêtre de gestion Exclusions des processus, dans laquelle vous pouvez
ajouter des exclusions et recherchez un fichier exécutable (Backup-tool.exe, par exemple) qui sera exclu de
l'analyse.
Dès que le fichier .exe est ajouté aux exclusions, l'activité du processus exclu n'est pas surveillée par ESET
Mail Security et aucune analyse n'est effectuée sur les opérations sur les fichiers exécutées par ce
processus.
Si vous n'utilisez pas la fonction de navigation lorsque vous sélectionnez un exécutable de processus, vous
devez entrer manuellement un chemin d'accès complet à l'exécutable. Sinon, l'exclusion ne fonctionnera
pas correctement. De plus, HIPS peut signaler des erreurs.
Vous pouvez également modifier des processus existants ou les retirer des exclusions.
La protection de l'accès Web ne prend pas en compte ces exclusions. Par conséquent, si vous excluez le
fichier exécutable de votre navigateur Web, les fichiers téléchargés sont toujours analysés. Une infiltration
peut ainsi être toujours détectée. Ce scénario est utilisé à titre d'exemple uniquement. Il n'est pas
recommandé de créer des exclusions pour les navigateurs Web.
Protection dans le cloud
ESET LiveGrid® est un système avancé d'avertissement anticipé constitué de plusieurs technologies de cloud. Il
contribue à la détection des nouvelles menaces en s'appuyant sur l'évaluation de la réputation et améliore les
performances d'analyse par la mise en liste blanche. Les informations sur les nouvelles menaces sont envoyées en
temps réel dans le cloud, ce qui permet aux laboratoires d'ESET de lutte contre les logiciels malveillants d'assurer
en permanence une protection à jour et constante. Les utilisateurs peuvent s'informer de la réputation des
processus et des fichiers en cours d'exécution depuis l'interface du programme ou à partir d'un menu contextuel
comprenant des informations supplémentaires mises à disposition par ESET LiveGrid®.
Lors de l'installation d'ESET Mail Security, sélectionnez l'une des options suivantes :
• Vous pouvez décider de ne pas activer ESET LiveGrid®. Le logiciel ne perd aucune fonctionnalité, mais ESET
Mail Security peut répondre dans certains cas plus lentement aux nouvelles menaces que la mise à jour de la
base du moteur de détection.
• Vous pouvez configurer ESET LiveGrid® afin d'envoyer des informations anonymes qui concernent les
nouvelles menaces et indiquent l'endroit où a été détecté le code dangereux. Ce fichier peut être envoyé à
ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore ses capacités à détecter les
189
menaces.
Le système ESET LiveGrid® collecte sur votre ordinateur des informations concernant les nouvelles menaces
détectées. Ces informations comprennent un échantillon ou une copie du fichier dans lequel la menace est
apparue, le chemin et le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur
votre ordinateur et des informations sur le système d'exploitation de votre ordinateur.
Par défaut, ESET Mail Security est configuré pour soumettre les fichiers suspects au laboratoire d'ESET pour
analyse. Les fichiers ayant une extension définie (.docx ou .xlsx par exemple) sont toujours exclus. Vous pouvez
également ajouter d'autres extensions si vous ou votre entreprise souhaitez éviter d'envoyer certains fichiers.
Activer le système de réputation ESET LiveGrid® (recommandé)
Le système de réputation ESET LiveGrid® améliore l'efficacité des solutions de protection contre les logiciels
malveillants en comparant les fichiers analysés à une base de données d'éléments mis en liste blanche et noire
dans le cloud.
Activer le système de commentaires ESET LiveGrid®
Les données seront envoyées au ESET Research Lab pour analyse.
Envoyer les rapports de défaillance et les données de diagnostic
Permet d'envoyer des données telles que des rapports de défaillance, des modules ou des images mémoire.
Soumettre des statistiques anonymes
Autorise ESET à collecter des informations anonymes concernant les nouvelles menaces détectées (nom, date et
l'heure de détection, méthode de détection et métadonnées associées), les fichiers analysés (hachage, nom du
fichier, origine du fichier, télémétrie), les URL suspectes et bloquées et la version et la configuration du produit,
notamment des informations sur votre système.
Courriel de contact (facultative)
Votre adresse électronique peut être incluse avec les fichiers suspects. Nous pourrons l'utiliser pour vous
contacter si des informations complémentaires sont nécessaires pour l'analyse. Notez que vous ne recevrez pas
de réponse d'ESET, sauf si des informations complémentaires s'avèrent nécessaires.
Soumission des échantillons
Soumission automatique des échantillons infectés
Cette option permet de soumettre tous les échantillons infectés à ESET pour analyse afin d'améliorer les
prochaines détections.
• Tous les échantillons infectés
• Tous les échantillons à l'exception des documents
• Ne pas envoyer
Soumission automatique des échantillons suspects
Les échantillons suspects ressemblant à des menaces et/ou des échantillons aux caractéristiques ou au
190
comportement inhabituels peuvent être envoyés pour analyse à ESET.
• Exécutable : comprend les fichiers exécutables suivants : .exe, .dll, .sys
• Archives : comprend les types de fichier d'archive suivants : .zip, .rar, .7z, .arch, .arj, .bzip2, .gzip, .ace, .arc,
.cab
• Scripts : comprend les types de fichier de script suivants : .bat, .cmd, .hta, .js, .vbs, .js, .ps1
• Autre : comprend les types de fichier suivants : .jar, .reg, .msi, .swf, .lnk
• Courrier indésirable possible : améliore la détection globale du courrier indésirable.
• Documents : Comprend des documents Microsoft Office ou des fichiers PDF avec du contenu actif.
Exclusions
L'option Modifier en regard d'Exclusions dans ESET LiveGrid® permet de configurer le mode de soumission des
menaces au laboratoire des virus d'ESET pour analyse.
Taille maximale des échantillons (Mo)
Définissez automatiquement la taille maximale des échantillons soumis.
ESET LiveGuard Advanced
ESET LiveGuard Advanced offre une autre couche de sécurité en utilisant une technologie avancée basée sur le
cloud ESET afin de détecter les nouveaux types de menaces. ESET LiveGuard Advanced vous offre la possibilité
d'être protégé contre les conséquences possibles causées par les nouvelles menaces. Si ESET LiveGuard Advanced
détecte du code ou un comportement suspect, il empêche toute activité de la menace en la plaçant
temporairement dans la quarantaine .
Un échantillon suspect (fichier ou e-mail) est automatiquement soumis au cloud ESET, où le serveur ESET
LiveGuard Advanced l'analyse à l'aide des moteurs de détection de logiciels malveillants sophistiqués. Pendant
que les fichiers ou les e-mails sont dans la quarantaine , ESET Mail Security attend les résultats du serveur ESET
LiveGuard Advanced.
Pour activer le service ESET LiveGuard Advanced sur une machine cliente à l'aide de la console web ESET PROTECT
ou ESET PROTECT On-Prem. Vérifiez que vous possédez une licence ESET LiveGuard Advanced éligible. Dans la
console web ESET PROTECT Web Console, créez une politique ou modifiez une politique existante et affectez-la
aux machines sur lesquelles vous souhaitez utiliser ESET LiveGuard Advanced. Voir la configuration ESET
LiveGuard Advanced pour ESET Mail Security.
Filtre d’exclusion
Cette option permet d'exclure certains fichiers/dossiers de la soumission. Par exemple, il peut être utile d'exclure
des fichiers qui peuvent comporter des informations confidentielles, tels que des documents ou des feuilles de
calcul.
Les fichiers répertoriés ne seront jamais envoyés aux laboratoires ESET pour analyse, même s'ils contiennent du
code suspect.
191
Les fichiers les plus ordinaires sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à la liste des
fichiers exclus si vous le souhaitez.
Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des paquets de
données à envoyer. Même après la désactivation, ces paquets sont envoyés à ESET. Une fois toutes les
informations actuelles envoyées, plus aucun paquet ne sera créé.
Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire de recherche sur les menaces
pour analyse. S'il s'agit d'une application malveillante, sa détection est ajoutée à la prochaine mise à jour du
module de détection.
Analyses des logiciels malveillants
Cette section indique les options pour sélectionner les paramètres d'analyse.
Ce sélecteur de profil d'analyse s'applique à l'analyse à la demande et à l'analyse Hyper-V.
Profil sélectionné
Ensemble spécifique de paramètres utilisés par l'analyse à la demande. Vous pouvez utiliser l'un des profils
d'analyse prédéfinis ou créer un nouveau profil. Les profils d'analyse utilisent différents paramètres du moteur
ThreatSense.
Liste des profils
Pour créer un profil, cliquez sur Modifier. Saisissez le nom du profil et cliquez sur Ajouter. Le nouveau profil sera
affiché dans le menu déroulant Profil sélectionné qui répertorie les profils d'analyse existants.
Cibles à analyser
Pour analyser une cible spécifique, cliquez sur Modifier, puis sélectionnez une option dans le menu déroulant ou
choisissez des cibles spécifiques dans la structure (arborescence) des dossiers.
Paramètres ThreatSense
Permet de modifier les paramètres d'analyse pour l'analyse de l'ordinateur à la demande.
Réponses à la demande et aux détections
192
La création de rapports est effectuée par le moteur de détection et le composant d’apprentissage machine. Si
nécessaire, vous pouvez configurer séparément les paramètres de réponses à la demande et aux détections.
Cliquez sur l’icône de bouton bascule pour désactiver l’option Utiliser les configurations de protection en temps
réel et continuez la configuration.
Gestionnaire de profils
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis.
• Analyse intelligente
• Analyse via le menu contextuel
• Analyse approfondie
• Mon profil (s'applique à Analyse Hyper-V, Profils de mise à jour)
Pour plus d'informations sur la création d'un profil d'analyse correspondant à vos besoins, reportez-vous à la
section ThreatSenseConfiguration du moteur ; vous y trouverez une description de chaque paramètre de
configuration de l'analyse.
Le gestionnaire de profils est utilisé à trois emplacements différents dans ESET Mail Security.
Analyse de l’ordinateur à la demande
Vos paramètres d'analyse préférés peuvent être enregistrés pour les prochaines analyses. Il est recommandé de
créer autant de profils (avec différentes cibles et méthodes, et d'autres paramètres d'analyse) que d'analyses
utilisées régulièrement.
Mettre à jour
L'éditeur de profils permet aux utilisateurs de créer de nouveaux profils de mise à jour. Vous devez créer des
profils de mise à jour personnalisés uniquement si votre ordinateur utilise plusieurs moyens de connexion aux
serveurs de mise à jour.
Analyse Hyper-V
Créez un profil, sélectionnez Modifier en regard de Liste des profils. Le nouveau profil sera affiché dans le menu
déroulant Profil sélectionné qui répertorie les profils d'analyse existants.
Cibles du profil
Vous pouvez spécifier les cibles qui seront analysées pour les infiltrations. Choisissez des objets (mémoire,
secteurs d'amorçage et UEFI, lecteurs, fichiers et dossiers ou réseau) dans l'arborescence qui répertorie toutes les
cibles disponibles sur votre système. Cliquez sur l'icône représentant un engrenage dans le coin supérieur gauche
pour accéder aux menus déroulants Cibles à analyser et Profil d'analyse.
Ce sélecteur de profil d'analyse s'applique à l'analyse à la demande et à l'analyse Hyper-V.
193
Mémoire vive
Analyse l'ensemble des processus et des données actuellement utilisés par la mémoire vive.
Secteurs d'amorçage/UEFI Analyse les secteurs d’amorçage et UEFI pour rechercher la présence de logiciels malveillants. Pour en savoir plus sur le Scanner UEFI, consultez le
glossaire.
Base de données WMI
Analyse la totalité de la base de données WMI (Windows Management Instrumentation), tous les espaces de noms, toutes les instances de classe et toutes
les propriétés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données.
Registre système
Analyse la totalité du registre système, toutes les clés et les sous-clés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés
en tant que données. Lors du nettoyage des détections, la référence est conservée dans le registre pour s’assurer qu’aucune donnée importante ne sera
perdue.
Pour accéder rapidement à une cible à analyser ou ajouter un dossier ou des fichiers cibles, entrez le répertoire
cible dans le champ vide sous la liste de dossiers.
Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies :
Par les paramètres de
profil
Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné.
Supports amovibles
Permet de sélectionner les disquettes, les périphériques USB, les CD/DVD, etc.
Lecteurs locaux
Permet de sélectionner tous les disques durs du système.
Lecteurs réseau
Analyse tous les lecteurs réseau mappés.
Dossiers partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection personnalisée
Efface toutes les sélections. Une fois qu'elles ont été effacées, vous pouvez effectuer votre sélection personnalisée.
Pour accéder rapidement à une cible à analyser (fichier ou dossier) afin de l'inclure dans l'analyse, entrez son
chemin dans le champ de texte sous l'arborescence. L'entrée de chemin respecte la casse.
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis :
194
• Analyse intelligente
• Analyse via le menu contextuel
• Analyse approfondie
• Analyse de l'ordinateur
Ces profils d'analyse utilisent différents paramètres de moteur ThreatSense.
Afficher la progression de l'analyse
Si vous souhaitez effectuer uniquement une analyse du système sans actions de nettoyage supplémentaires,
sélectionnez Analyse sans nettoyage. Cette option s'avère utile lorsque vous souhaitez obtenir une vue
d'ensemble des éléments infectés et des informations détaillées sur ces infections, le cas échéant. Vous pouvez
aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense >
Nettoyage. Les informations de l'analyse sont enregistrées dans un journal d'analyse.
Ignorer les exclusions
L'option Ignorer les exclusions permet d'effectuer une analyse tout en ignorant les exclusions qui s'appliquent
autrement.
Cibles à analyser
Si vous souhaitez uniquement analyser une cible spécifique, vous pouvez utiliser une Analyse personnalisée et
sélectionner une option dans le menu déroulant Cibles à analyser ou choisir des cibles spécifiques dans la
structure (arborescence) des dossiers.
Le sélecteur de profil des cibles à analyser s'applique à :
• Analyse à la demande
• Analyse Hyper-V
Pour accéder rapidement à une cible à analyser ou ajouter un dossier ou un fichier cible, entrez cet élément dans
le champ vide sous la liste de dossiers. Aucune cible ne doit être sélectionnée dans la structure arborescente et le
menu Cibles à analyser doit être défini sur Aucune sélection.
Mémoire vive
Analyse l'ensemble des processus et des données actuellement utilisés par la mémoire vive.
Secteurs d'amorçage/UEFI Analyse les secteurs d’amorçage et UEFI pour rechercher la présence de logiciels malveillants. Pour en savoir plus sur le Scanner UEFI, consultez le
glossaire.
Base de données WMI
Analyse la totalité de la base de données WMI (Windows Management Instrumentation), tous les espaces de noms, toutes les instances de classe et toutes
les propriétés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés en tant que données.
Registre système
Analyse la totalité du registre système, toutes les clés et les sous-clés. Recherche des références à des fichiers infectés ou des logiciels malveillants intégrés
en tant que données. Lors du nettoyage des détections, la référence est conservée dans le registre pour s’assurer qu’aucune donnée importante ne sera
perdue.
Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies.
Par les paramètres de
profil
Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné.
Supports amovibles
Permet de sélectionner les disquettes, les périphériques USB, les CD/DVD, etc.
Lecteurs locaux
Permet de sélectionner tous les disques durs du système.
Lecteurs réseau
Analyse tous les lecteurs réseau mappés.
Dossiers partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection personnalisée
Efface toutes les sélections. Une fois qu'elles ont été effacées, vous pouvez effectuer votre sélection personnalisée.
195
Vous pouvez choisir un profil à utiliser pour l'analyse des cibles sélectionnées dans le menu déroulant Profil
d'analyse Le profil par défaut est Analyse intelligente. Le profil par défaut est Analyse intelligente. Il existe deux
autres profils d'analyse prédéfinis nommés : Analyse approfondie et Analyse par le menu contextuel. Ces profils
d'analyse utilisent différents paramètres de moteur ThreatSense.
Fenêtre Analyse personnalisée :
Analyse sans nettoyage : Si vous souhaitez effectuer uniquement une analyse du système sans actions de
nettoyage supplémentaires, sélectionnez Analyse sans nettoyage. Cette option s'avère utile lorsque vous
souhaitez obtenir une vue d'ensemble des éléments infectés et des informations détaillées sur ces infections, le
cas échéant. Vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration >
Paramètres ThreatSense > Nettoyage. Les informations de l'analyse sont enregistrées dans un journal d'analyse.
Ignorer les exclusions : Vous pouvez effectuer une analyse tout en ignorant les exclusions qui s'appliquent
autrement.
Action après l'analyse : choisissez dans le menu déroulant l'action à exécuter une fois l'analyse terminée.
Impossible d'interrompre l'analyse : pour ne pas autoriser les utilisateurs sans privilège à interrompre les actions
exécutées après l'analyse.
196
L'analyse peut être suspendue par l'utilisateur pendant (min) : permet à l'utilisateur avec des privilèges limités
de suspendre l'analyse de l'ordinateur pendant la durée spécifiée.
Interrompre l'analyse automatiquement après (min) : pour annuler l'analyse si elle prend plus de temps que la
limite de temps spécifiée.
Analyser en tant qu'administrateur : Permet d'exécuter l'analyse sous le compte administrateur. Cliquez sur
cette option si l'utilisateur actuel ne dispose pas des privilèges suffisants pour accéder aux fichiers à analyser.
Remarquez que ce bouton n'est pas disponible si l'utilisateur actuel ne peut pas appeler d'opérations UAC en tant
qu'administrateur.
Analyse en cas d'inactivité
Lorsque l'ordinateur n'est pas utilisé, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques
locaux. La détection en cas d'inactivité s'exécute lorsque votre ordinateur se trouve dans l'un des états suivants :
• Écran ou économiseur d'écran désactivé
• Ordinateur verrouillé
• Utilisateur déconnecté
Exécuter même si l’ordinateur est alimenté par batterie
Par défaut, l'analyse en cas d'inactivité n'est pas exécutée lorsque l'ordinateur (portable) fonctionne sur batterie.
Activer la journalisation
Permet d'enregistrer les sorties d'analyse d'ordinateur dans la section Fichiers journaux (dans la fenêtre principale
du programme, cliquez sur Fichiers journaux et sélectionnez Analyse de l'ordinateur dans le menu déroulant).
Paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyse en cas d'inactivité.
Analyse au démarrage
Par défaut, la vérification automatique des fichiers au démarrage est effectuée au démarrage du système
(ouverture de session de l'utilisateur) et après une mise à jour des modules. Cette analyse dépend de la
configuration et des tâches du Planificateur.
Les options d'analyse au démarrage font partie de la tâche planifiée Contrôle des fichiers de démarrage du
système.
Pour modifier les paramètres d'analyse au démarrage, accédez à Outils > Planificateur, sélectionnez l'une des
tâches appelées Vérification automatique des fichiers de démarrage (ouverture de session de l'utilisateur ou
mise à jour des modules), puis sur Modifier. À la dernière étape de l'assistant, vous pouvez modifier les options
détaillées de Vérification des fichiers de démarrage.
197
Vérification automatique des fichiers de démarrage
Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options
s'offrent à vous pour définir les paramètres suivants :
Le menu déroulant Cible à analyser indique le niveau d'analyse appliqué aux fichiers exécutés au démarrage du
système. Les fichiers sont organisés par ordre croissant suivant ces critères :
• Tous les fichiers enregistrés (la plupart des fichiers sont analysés)
• Fichiers rarement utilisés
• Fichiers couramment utilisés
• Fichiers fréquemment utilisés
• Seulement les fichiers utilisés fréquemment (nombre minimum de fichiers analysés)
Il existe en outre deux groupes de Cible à analyser :
Fichiers exécutés avant la connexion de l'utilisateur
Contient des fichiers situés à des emplacements accessibles sans qu'une session ait été ouverte par l'utilisateur
(englobe pratiquement tous les emplacements de démarrage tels que services, objets Application d'assistance du
navigateur, notification Winlogon, entrées de planificateur Windows, DLL connues, etc.).
Fichiers exécutés après la connexion de l’utilisateur
Contient des fichiers situés à des emplacements accessibles uniquement après l'ouverture d'une session par
l'utilisateur (englobe des fichiers qui ne sont exécutés que pour un utilisateur spécifique, généralement les
fichiers de HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Les listes des fichiers à analyser sont fixes pour chaque groupe précité.
198
Priorité de l'analyse
Niveau de priorité servant à déterminer le démarrage d'une analyse :
• Normale - lorsque le système est moyennement chargé,
• Faible - lorsque le système est faiblement chargé,
• La plus faible - lorsque la charge du système est la plus faible possible,
• En période d'inactivité - la tâche n'est accomplie que lorsque le système n'est pas utilisé.
Supports amovibles
ESET Mail Security permet d'analyser automatiquement les supports amovibles (CD/DVD/USB). Ce module
permet d'analyser un support inséré. Cela peut être utile si l'administrateur souhaite empêcher les utilisateurs
d'utiliser des supports amovibles avec du contenu non sollicité.
Lorsqu'un support amovible est inséré, la boîte de dialogue suivante s'affiche :
• Analyser maintenant - Cette option déclenche l'analyse du support amovible.
• Ne pas analyser : les supports amovibles ne seront pas analysés.
• Configuration - Ouvre la boîte de dialogue Configuration avancée.
• Toujours utiliser l'option sélectionnée - Lorsque cette option est sélectionnée, la même action sera
exécutée lorsqu'un support amovible sera inséré plus tard.
En outre, ESET Mail Security offre le contrôle des appareils qui permet de définir des règles d'utilisation de
périphériques externes sur un ordinateur donné.
199
Pour accéder aux paramètres de l’analyse de supports amovibles, ouvrez Configuration avancée (F5)
Notifications > Alertes interactives > Modifier. Si l'option Demander à l'utilisateur n'est pas sélectionnée,
choisissez l’action à exécuter lorsqu'un support amovible est inséré dans l’ordinateur :
• Ne pas analyser - Aucune action n'est exécutée et la fenêtre Nouveau périphérique détecté se ferme.
• Analyse automatique de périphérique - Le support amovible inséré fait l'objet d'une analyse à la
demande.
• Analyse forcée de l’appareil : une analyse de l’ordinateur du support amovible inséré est effectuée et ne
peut pas être annulée.
• Afficher les options d’analyse : ouvre la section de configuration Alertes interactives.
Protection des documents
La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, ainsi
que les fichiers téléchargés automatiquement par Internet Explorer, tels que des éléments Microsoft ActiveX. La
protection des documents fournit une couche de protection supplémentaire qui vient s'ajouter à la protection en
temps réel du système de fichiers. Elle peut être désactivée pour améliorer la performance des systèmes qui ne
sont pas exposés à un grand nombre de documents Microsoft Office.
Intégrer dans le système
Cette option renforce la protection des documents Microsoft Office (elle n’est pas requise dans des conditions
normales).
Paramètres ThreatSense
Modifiez les paramètres de la protection des documents.
Cette fonctionnalité est activée par des applications utilisant Microsoft Antivirus API (par exemple
Microsoft Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures).
Analyse Hyper-V
La version actuelle de l'analyse Hyper-V prend en charge l'analyse du système virtuel en ligne et hors ligne dans
Hyper-V. Les types d'analyses pris en charge selon le système Windows Hyper-V hébergé et l'état du système
virtuel sont indiqués ci-dessous :
Systèmes virtuels avec la fonctionnalité
Hyper-V
Windows Server 2022 Hyper-V
Windows Server 2019 Hyper-V
Windows Server 2016 Hyper-V
Windows Server 2012 R2 Hyper-V
200
Machine
Machine virtuelle
virtuelle en ligne
hors ligne
lecture seule
lecture
seule/nettoyage
lecture seule
lecture
seule/nettoyage
lecture seule
lecture
seule/nettoyage
lecture seule
lecture
seule/nettoyage
Systèmes virtuels avec la fonctionnalité
Hyper-V
Windows Server 2012 Hyper-V
Machine
Machine virtuelle
virtuelle en ligne
hors ligne
lecture seule
lecture
seule/nettoyage
Configuration matérielle requise
Le serveur ne doit pas rencontrer de problèmes de performance lorsqu'il exécute des machines virtuelles.
L'activité d'analyse utilise principalement des ressources processeur. Pour analyser les machines virtuelles en
ligne, de l'espace disque disponible est nécessaire. L'espace disque disponible doit être au moins deux fois
supérieur à l'espace utilisé par les points de contrôle/instantanés et les disques virtuels.
Limites spécifiques
• En raison de la nature des disques dynamiques, l'analyse des systèmes de stockage RAID, des volumes
fractionnés et des disques dynamiques n'est pas prise en charge. Il est donc recommandé d'éviter, si
possible, d'utiliser des disques dynamiques dans les machines virtuelles.
• L'analyse est toujours effectuée sur la machine virtuelle actuelle et n'a aucun impact sur les points de
contrôle ou les instantanés.
• La configuration dans laquelle Hyper-V s'exécute sur un hôte dans un cluster n'est actuellement pas prise
en charge par ESET Mail Security.
Bien qu'ESET Security prenne en charge l'analyse des MBR des disques virtuels, seule une analyse en
lecture seule est prise en charge pour ces cibles. Ce paramètre peut être modifié dans Configuration
avancée (F5) > Computer > Analyse Hyper-V > Paramètres ThreatSense > Secteurs d’amorçage.
La machine virtuelle à analyser est hors ligne - État Désactivée
ESET Mail Security utilise Hyper-V Management pour détecter les disques virtuels et pour s'y connecter. Ainsi,
ESET Mail Security accède au contenu des disques virtuels comme il le ferait pour les données et fichiers des
disques génériques.
La machine virtuelle à analyser est en ligne - État En cours d'exécution, En pause, Enregistrée
ESET Mail Security utilise Hyper-V Management pour détecter les disques virtuels. Une connexion à ces disques
n'est pas possible. ESET Mail Security créée un point de contrôle/instantané de la machine virtuelle, puis se
connecte à ce dernier. Lorsque l'analyse est terminée, le point de contrôle/instantané est supprimé. Cela signifie
qu'une analyse en lecture seule peut être effectuée, car la ou les machines virtuelles en cours d'exécution ne sont
pas affectées par l'activité d'analyse.
ESET Mail Security a besoin d'une minute pour créer un instantané ou un point de contrôle lors de l'analyse. Il
serait utile d'en tenir compte lorsque vous exécutez une analyse Hyper-V sur un grand nombre de machines
virtuelles.
Convention d'affectation de noms
Le module de l'analyse Hyper-V utilise la convention d'affectation de noms suivante :
VirtualMachineName\DiskX\VolumeY
Où X correspond au nombre de disques et Y au nombre de volumes. Par exemple :
201
Computer\Disk0\Volume1
Le suffixe du nombre est ajouté en fonction de l'ordre de détection, qui est identique à l'ordre que l'on retrouve
dans le Gestionnaire de disques de la machine virtuelle. Cette convention d'affectation de noms est utilisée dans
le menu déroulant arborescent des cibles à analyser, dans la barre de progression et dans les fichiers journaux.
Exécution d'une analyse
• À la demande - Cliquez sur Analyse Hyper-V pour afficher la liste des machines virtuelles et des volumes
disponibles à analyser. Sélectionnez les machines virtuelles, disques ou volumes à analyser, puis cliquez sur
Analyser.
• Pour créer une tâche du planificateur.
• Via ESET PROTECT en tant que tâche client appelée Analyse du serveur.
• Une analyse Hyper-V peut être gérée et lancée via eShell.
Il est possible d'exécuter simultanément plusieurs analyses Hyper-V. Lorsqu'une analyse est terminée, vous
recevez une notification comportant un lien vers des fichiers journaux.
Problèmes éventuels
• Lors de l’exécution de l’analyse d’une machine virtuelle en ligne, un point de contrôle/instantané de cette
machine virtuelle spécifique doit être créé. Lors de la création d’un point de contrôle/instantané, certaines
actions génériques de la machine virtuelle peuvent être limitées ou désactivées.
• Si une machine virtuelle hors ligne est analysée, elle ne peut pas être mise en ligne avant la fin de
l'analyse.
• Hyper-V Manager vous permet de donner un nom identique à deux machines virtuelles, ce qui peut
s'avérer problématique pour distinguer les machines pendant la consultation des journaux d'analyse.
Pour créer un profil, sélectionnez Modifier en regard de Liste des profils, saisissez un nom dans Nom du profil,
puis cliquez sur Ajouter. Le nouveau profil sera affiché dans le menu déroulant Profil sélectionné qui répertorie
les profils d'analyse existants.
Le menu déroulant Cibles à analyser pour Hyper -V permet de sélectionner des cibles à analyser prédéfinies :
Par les paramètres de profil
Toutes les machines virtuelles
Permet de sélectionner les cibles indiquées dans le profil d'analyse
sélectionné.
Permet de sélectionner toutes les machines virtuelles.
Machines virtuelles sous tension Permet de sélectionner toutes les machines virtuelles en ligne.
Machines virtuelles hors tension Permet de sélectionner toutes les machines virtuelles hors ligne.
Aucune sélection
Efface toutes les sélections.
Cliquez sur l’icône
et modifiez l’intervalle de l'option Arrêtez l’analyse si elle s’exécute pendant plus de
[minutes] : en le remplaçant par l'intervalle souhaité (entre 1 et 2 880 minutes).
Cliquez sur Analyser pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. Une fois
202
que toutes les analyses sont terminées, cliquez sur Fichiers journaux > Analyse Hyper-V.
Protection Hyper-V et par apprentissage machine
La création de rapports est effectuée par le moteur de détection et le composant d’apprentissage machine.
Paramètres ThreatSense
Permet de modifier les paramètres d’analyse pour l’analyse Hyper-V.
HIPS
Le système HIPS (Host Intrusion Prevention System) protège votre système des logiciels malveillants et de toute
activité non souhaitée qui pourrait avoir une incidence sur votre ordinateur. Il utilise l'analyse avancée des
comportements, associée aux fonctionnalités de détection du filtre réseau qui surveille les processus en cours, les
fichiers et les clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce
n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système
d'exploitation.
Les modifications apportées aux paramètres HIPS ne sont effectuées que par un utilisateur expérimenté.
Une configuration incorrecte des paramètres HIPS peut en effet entraîner une instabilité du système.
Activer l’auto-défense
ESET Mail Security intègre la technologie Auto-défense qui empêche les logiciels malveillants d'endommager ou
de désactiver la protection contre les logiciels malveillants ; vous avez la garantie que votre système est protégé
en permanence. Les modifications apportées aux paramètres Activer HIPS et Activer l'auto-défense entrent en
vigueur après le redémarrage du système d'exploitation Windows. La désactivation de l'intégralité du système
HIPS nécessite également un redémarrage de l'ordinateur.
Activer le service protégé
Microsoft a introduit un concept de services protégés avec Microsoft Windows Server 2012 R2. Il protège un
service contre les attaques de logiciels malveillants. Le noyau de ESET Mail Security fonctionne en tant que service
protégé par défaut. Cette fonctionnalité est disponible sous Microsoft Windows Server 2012 R2 et les nouveaux
systèmes d'exploitation serveur.
Active moteur d'analyse de mémoire avancé
Fonctionne avec le bloqueur d'exploit afin de renforcer la protection contre les logiciels malveillants qui ne sont
pas détectés par les produits anti-logiciels malveillants grâce à l'obscurcissement ou au chiffrement. Le scanner de
mémoire avancé est désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.
Activer le bloqueur d'exploit
Est conçu pour renforcer les types d'applications connues pour être très vulnérables aux exploits (navigateurs,
lecteurs de fichiers PDF, clients de messagerie et composants Microsoft Office). Le bloqueur d'exploit est
désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.
Activer le bouclier anti-ransomwares
Pour utiliser cette fonctionnalité, activez HIPS et ESET Live Grid. Lisez des informations supplémentaires sur les
203
ransomwares dans le glossaire.
Mode de filtrage
Vous pouvez choisir l'un des modes de filtrage suivants :
• Mode automatique - Les opérations sont autorisées, à l'exception de celles bloquées par des règles
prédéfinies qui protègent votre système. Tout est autorisé, à l'exception des actions refusées par la règle.
• Mode intelligent - L'utilisateur n'est averti que lors d'événements très suspects.
• Mode interactif - L'utilisateur est invité à confirmer les opérations. Autoriser/refuser l'accès, Créer une
règle, Mémoriser temporairement cette action.
• Mode basé sur des politiques - Les opérations sont bloquées. Accepte uniquement les règles
utilisateur/prédéfinies.
• Mode d'apprentissage - Les opérations sont autorisées et une règle est créée après chaque opération. Les
règles créées dans ce mode peuvent être affichées dans l'éditeur de règles, mais leur niveau de priorité est
inférieur à celui des règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez
l'option Mode d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Le mode
d'apprentissage prend fin le devient disponible. Sélectionnez la durée du mode d'apprentissage. La durée
maximale est de 14 jours. Lorsque la durée spécifiée est arrivée à son terme, vous êtes invité à modifier les
règles créées par HIPS en mode d'apprentissage. Vous pouvez également choisir un autre mode de filtrage
ou continuer à utiliser le mode d'apprentissage.
Règles
Les règles déterminent les applications qui auront accès aux fichiers, parties du Registre ou autres applications. Le
système HIPS surveille les événements dans le système d'exploitation et réagit en fonction de règles qui sont
semblables à celles utilisées par le pare-feu personnel. Cliquez sur Modifier pour ouvrir la fenêtre de gestion des
règles HIPS. Si l'action par défaut d'une règle est définie sur Demander, une boîte de dialogue apparaît à chaque
déclenchement de la règle. Vous pouvez choisir de refuser ou d'autoriser l'opération. Si vous ne choisissez
aucune action dans la période donnée, une nouvelle action est sélectionnée en fonction des règles.
La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS,
puis de définir les conditions dans lesquelles autoriser ou bloquer cette action. Cliquez sur Détails pour afficher
des informations supplémentaires. Les règles créées de cette manière sont équivalentes aux règles créées
manuellement ; la règle créée à partir d'une boîte de dialogue peut être moins spécifique que celle qui a
déclenché l'affichage de la boîte de dialogue. En d'autres termes, après la création d'une règle, la même
opération peut déclencher la même fenêtre.
204
Demander à chaque fois
Une boîte de dialogue apparaît à chaque déclenchement de la règle. Vous pouvez choisir de refuser ou
d'autoriser l'opération.
Mémoriser jusqu'à la fermeture de l'application
Choisir une action Refuser ou Autoriser crée une règle HIPS temporaire qui sera utilisée jusqu'à la fermeture de
l'application en question. Si vous modifiez le mode de filtrage, modifiez les règles ou que le module HIPS est mis à
jour, et si vous redémarrez le système, les règles temporaires sont supprimées.
Créer une règle et l'enregistrer de manière permanente
Créez une nouvelle règle HIPS. Vous pouvez la modifier ultérieurement dans la section Gestion des règles HIPS.
Paramètres de règle HIPS
Cette fenêtre vous donne une vue d'ensemble des règles HIPS existantes.
Règle
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Activé(e)
Désactivez ce commutateur si vous souhaitez conserver la règle dans la liste, mais ne souhaitez pas l'utiliser.
Action
La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont remplies.
Sources
La règle est utilisée uniquement si l'événement est déclenché par une ou des applications.
Cibles
La règle est utilisée uniquement si l'opération est liée à un fichier, une application ou une entrée de registre spécifique.
Gravité
journalisée
Si vous activez cette option, les informations sur cette règle sont écrites dans lejournal HIPS.
205
Règle
Notifier
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Une petite fenêtre apparaît dans la zone de notification Windows si un événement est déclenché.
Créez une règle, cliquez sur Ajouter de nouvelles règles HIPS ou sur Modifier les entrées sélectionnées.
Nom de la règle
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Action
La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont remplies.
Opérations affectant
Vous devez sélectionner le type d'opération auquel s'applique la règle. La règle est utilisée uniquement pour ce
type d'opération et pour la cible sélectionnée. La règle est composée d'éléments qui décrivent les conditions
déclenchant cette règle.
Applications source
La règle est utilisée uniquement si l'événement est déclenché par ces applications. Dans le menu déroulant,
sélectionnez des applications spécifiques, puis cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers.
Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les
applications.
Le fonctionnement de certaines règles prédéfinies par HIPS ne peut pas être bloqué et est autorisé par
défaut. En outre, les opérations système ne sont pas toutes surveillées par le système HIPS. Ce système
surveille les opérations qui peuvent être considérées comme dangereuses.
Description des opérations importantes :
Opérations sur le fichier
Supprimer le fichier
L'application demande l'autorisation de supprimer le fichier cible.
Écrire dans le fichier
L'application demande l'autorisation d'écrire dans le fichier cible.
Accès direct au disque
L'application essaie de lire des informations du disque ou d'écrire sur le disque d'une manière inhabituelle, non conforme aux procédures Windows
classiques. Les fichiers peuvent être modifiés sans que les règles correspondantes soient appliquées. Cette opération peut provenir d'un logiciel
malveillant qui essaie de contourner la détection, d'un logiciel de sauvegarde qui tente de faire une copie exacte d'un disque ou encore d'un gestionnaire
de partition qui essaie de réorganiser les volumes du disque.
Installer l'élément hook
global
Fait référence à l'appel de la fonction SetWindowsHookEx depuis la bibliothèque MSDN.
Charger le pilote
Installation et chargement de pilotes dans le système.
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Fichiers
spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également
sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.
Opérations sur l'application
Déboguer une autre application
Ajout d'un système de débogage au processus. Lors du débogage d'une application, de nombreux détails concernant son
comportement peuvent être affichés et modifiés. Vous pouvez également accéder à ses données.
Intercepter les événements d'une autre
application
L'application source essaie de récupérer les événements destinés à une application spécifique (il peut s'agir par exemple d'un
programme keylogger d'enregistrement des touches qui essaie de capturer les événements d'un navigateur).
Terminer/Mettre en attente une autre
application
Met un processus en attente, le reprend ou l'arrête (accessible directement depuis l'explorateur des processus ou la fenêtre des
processus).
Démarrer une nouvelle application
Démarrage de nouvelles applications et de nouveaux processus.
Modifier l'état d'une autre application
L'application source essaie d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité
peut être utile pour protéger une application importante : vous la configurez en tant qu'application cible dans une règle qui bloque
l'utilisation de cette opération.
206
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez
Applications spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez
également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Opérations sur le Registre
Modifier les paramètres
de démarrage
Toute modification apportée aux paramètres qui définissent les applications à exécuter au démarrage de Windows. Elles peuvent notamment être
recherchées à l'aide de la clé Run du registre Windows.
Supprimer du registre
Suppression d'une clé de registre ou de sa valeur.
Renommer la clé de
registre
Changement du nom des clés de registre.
Modifier le registre
Création de nouvelles valeurs de clés de registre, modification de valeurs existantes, déplacement de données dans l'arborescence de base de données
ou configuration des droits d'utilisateur ou de groupe pour les clés de registre.
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Entrées
spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également
sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
Vous pouvez utiliser des caractères génériques qui peuvent présenter des restrictions lors le la saisie d'un dossier. Au lieu
d'utiliser une clé particulière, vous pouvez utiliser un astérisque (*) dans les chemins de registre. Par exemple
HKEY_USERS\*\software can mean HKEY_USER\.default\software, mais pas
HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet*
n'est pas un chemin valide de clé de registre. Un chemin de clé de registre contenant le symbole \* signifie « ce chemin ou tout
autre niveau après ce symbole ». C'est le seul moyen d'utiliser des caractères génériques pour les cibles séjour. L'évaluation
porte tout d'abord sur la partie spécifique du chemin, puis sur celle figurant après le symbole (*).
Une notification peut s'afficher si vous créez une règle trop générique.
Configurations avancées de HIPS
Les options suivantes sont utiles au débogage et à l'analyse d'un comportement d'application :
Pilotes dont le chargement est toujours autorisé
Le chargement des pilotes sélectionnés est toujours autorisé, quel que soit le mode de filtrage configuré, excepté
en cas de blocage explicite par une règle utilisateur. Le chargement des pilotes répertoriés dans cette liste est
toujours autorisé quel que soit le mode de filtrage HIPS, sauf s'il est bloqué explicitement par une règle de
l'utilisateur. Vous pouvez ajouter un nouveau pilote, modifier un pilote sélectionné dans la liste ou le retirer.
cliquez sur Réinitialiser si vous ne souhaitez pas que les pilotes que vous avez ajoutés manuellement soient
inclus. Cette commande peut s'avérer utile lorsque vous avez ajouté plusieurs pilotes et que vous ne
pouvez pas les supprimer manuellement de la liste.
Consigner toutes les connexions bloquées
Toutes les opérations bloquées sont inscrites dans le journal HIPS. N'utilisez cette fonctionnalité qu'en cas de
dépannage ou à la demande de l'assistance technique d'ESET, car elle risque de générer un fichier journal
volumineux et de ralentir le système.
Avertir en cas de changements dans les applications de démarrage
Affiche une notification sur le Bureau chaque fois qu'une application est ajoutée au démarrage du système ou en
est supprimée.
207
Configuration des mises à jour
Cette section fournit des informations sur la source des mises à jour telles que les serveurs de mise à jour utilisés
et les données d'authentification pour ces serveurs.
Il est essentiel de remplir tous les paramètres de mise à jour avec précision afin de télécharger
correctement les mises à jour. Si vous utilisez un pare-feu, vérifiez que le programme ESET est autorisé à
accéder à Internet (communication HTTP, par exemple).
Général
208
Sélectionner le profil de mise à jour par défaut
Sélectionnez un profil existant ou créez-en un qui sera appliqué par défaut pour
les mises à jour.
Changement automatique de profil
Attribuez un profil de mise à jour en fonction des réseaux connus dans le parefeu. Le changement automatique de profil permet de changer le profil d’un
réseau spécifique en fonction de la configuration du planificateur. Pour plus
d’informations, consultez les pages d’aide.
Configurer les notifications de mise à jour
Cliquez sur Modifier pour sélectionner les notifications d’application qui doivent
s’afficher. Vous pouvez choisir si les notifications doivent s'afficher sur un bureau
ou être transférées vers une adresse e-mail.
Effacer le cache de mise à jour
En cas de problème de mise à jour, cliquez sur Effacer pour effacer le cache de
mise à jour temporaire.
Mises à jour du produit
Mises à jour automatiques
Option activée par défaut. Utilisez le curseur pour désactiver les mises à jour
automatiques si vous devez arrêter temporairement la mise à jour d'ESET Mail
Security. Il est recommandé de garder ce paramètre activé pour s’assurer qu'ESET
Mail Security dispose des dernières mises à jour des composants du programme
(PCU), et des micro-mises à jour des composants du programme (μPCU)
appliquées lorsqu'une nouvelle mise à jour est disponible.
Les mises à jour sont appliquées après le prochain redémarrage du serveur.
Alertes de moteur de détection obsolètes
Définir automatiquement l'âge maximal du moteur de détection / Âge maximal
du moteur de détection (jours)
Utilisez le curseur pour désactiver l'âge automatique du moteur de détection et
définir manuellement le délai maximum (en jours) après lequel l'âge du moteur
de détection sera signalé comme périmé. La valeur par défaut est de 7.
Restauration du module
Si vous pensez qu'une mise à jour du moteur de détection ou des modules du
programme est instable ou endommagée, vous pouvez restaurer la version
précédente et désactiver les mises à jour pendant une période donnée. Il est
également possible d'activer les mises à jour précédemment désactivées si vous
les avez reportées pour une durée indéterminée. ESET Mail Security enregistre
des instantanés de moteur de détection et de modules du programme à utiliser
avec la fonctionnalité de restauration. Pour permettre la création d'instantanés
de moteur de détection, conservez l'option Créer des instantanés des modules
activés.
Nombre d’instantanés stockés localement
Définit le nombre d'instantanés précédents de module qui sont stockés.
Restaurer les modules précédents
Cliquez sur Restaurer pour rétablir la version précédente des modules du
Profils
programme et désactiver temporairement les mises à jour.
Pour créer un profil de mise à jour personnalisé, sélectionnez Modifier en regard de Liste des profils. Saisissez un
nom dans Nom du profil, puis cliquez sur Ajouter. Sélectionnez le profil à modifier et changez les paramètres
pour les types des mises à jour de module ou créez un miroir de mise à jour.
Mises à jour
209
Sélectionnez le type de mise à jour à utiliser dans le menu déroulant :
• Mise à jour régulière - Par défaut, l'option Type de mise à jour est définie sur Mise à jour régulière pour que les
fichiers de mise à jour soient téléchargés automatiquement du serveur ESET lorsque le trafic réseau est le moins
surchargé.
• Mise à jour préliminaire - Ces mises à jour ont subi des tests internes poussés et seront disponibles très
prochainement. Vous pouvez activer ces versions bêta afin d'accéder aux dernières méthodes de détection et aux
derniers correctifs. Toutefois, ces versions ne sont peut-être pas suffisamment stables pour être utilisées en
permanence et NE DOIVENT PAS être utilisées sur des serveurs de production et des stations de travail qui exigent
les plus grandes disponibilité et stabilité.
• Mise à jour retardée : permet d'effectuer la mise à jour à partir de serveurs de mise à jour spéciaux fournissant
les nouvelles versions de bases de virus après un délai d'au moins X heures (bases testées dans un environnement
réel et donc considérées comme stables).
Activer l'optimisation de la diffusion des mises à jour
Lorsque cette option est activée, les fichiers de mise à jour sont téléchargés à partir d'un CDN. La désactivation de
ce paramètre peut entraîner des interruptions et des ralentissements de téléchargement lorsque les serveurs de
mise à jour ESET dédiés sont surchargés. La désactivation est utile lorsqu'un pare-feu est limité à l'accès aux
adresses IP du serveur de mise à jour ESET uniquement ou qu'une connexion aux services CDN ne fonctionne pas.
Demander avant de télécharger une mise à jour
Lorsqu'une nouvelle mise à jour est disponible, le système vous demande si vous souhaitez la télécharger.
Demander si un fichier de mise à jour a une taille supérieure à (Ko)
Si la taille du fichier de mise à jour est supérieure à la valeur spécifiée dans le champ, une notification s'affiche.
Mises à jour des modules
Les mises à jour des modules sont définies par défaut sur Choisir automatiquement. Le serveur de mise à jour est
l'emplacement où sont stockées les mises à jour. Si vous utilisez un serveur ESET, il est recommandé de conserver
l'option par défaut.
Si un serveur local HTTP, appelé également miroir, est utilisé, le serveur de mise à jour doit être configuré
comme suit :
http://computer_name_or_its_IP_address:2221
Si vous utilisez un serveur local HTTP avec SSL, le serveur de mise à jour doit être configuré comme suit :
https://computer_name_or_its_IP_address:2221
Si vous utilisez un dossier partagé local, le serveur de mise à jour doit être configuré comme suit :
\\computer_name_or_its_IP_address\shared_folder
Permettre des mises à jour plus fréquentes des signatures de détection
Le moteur de détection sera mis à jour à un intervalle plus fréquent. La désactivation de cette option peut avoir
un impact négatif sur le taux de détection.
Autoriser les mises à jour des modules à partir des supports amovibles
Permet d'effectuer une mise à jour à partir de supports amovibles s'ils contiennent un miroir créé. Lorsque
l'option Automatique est sélectionnée, les mises à jour s'exécutent en arrière-plan. Si vous souhaitez afficher les
boîtes de dialogue de mise à jour, sélectionnez l'option Toujours demander.
Mises à jour du produit
La suspension des mises à jour automatiques pour des profils de mise à jour spécifiques désactive
temporairement les mises à jour automatiques du produit, par exemple lorsque vous êtes connecté à Internet en
utilisant d'autres réseaux ou des connexions limitées. Conservez ce paramètre activé pour bénéficier d'un accès
permanent aux dernières fonctionnalités et de la meilleure protection possible.
Dans certains cas, un redémarrage du serveur peut être nécessaire pour que les mises à jour aient lieu.
Options de connexion
Serveur proxy
Pour accéder aux options de configuration du serveur proxy pour un profil de mise à jour donné. Cliquez sur
l'onglet Mode proxyet sélectionnez l'une des trois options suivantes :
• Ne pas utiliser de serveur proxy : aucun serveur proxy ne sera utilisé par ESET Mail Security lors des mises
210
à jour.
• Utiliser les paramètres globaux de serveur proxy : la configuration de serveur proxy indiquée dans
Configuration avancée (F5) > Outils > Serveur proxy sera utilisée.
• Connexion via un serveur proxy : utilisez cette option si :
Un serveur proxy doit être utilisé pour mettre à jour ESET Mail Security et ce serveur doit être différent de
celui indiqué dans les paramètres globaux (Outils > Serveur proxy). Si c'est le cas, des paramètres
supplémentaires doivent être spécifiés : l'adresse du serveur proxy, le port de communication (3128 par
défaut), ainsi que le nom d'utilisateur et le mot de passe du serveur proxy si nécessaire.
Les paramètres de serveur proxy n'ont pas été définis globalement, mais ESET Mail Security se connecte à un
serveur proxy pour les mises à jour.
Votre ordinateur est connecté à Internet par l'intermédiaire d'un serveur proxy. Les paramètres sont pris
d'Internet Explorer pendant l'installation du programme, mais s'ils sont modifiés par la suite (par exemple, en cas
de changement de fournisseur de services Internet), vérifiez que les paramètres du proxy HTTP figurant dans la
fenêtre sont corrects. Dans le cas contraire, le programme ne pourra pas se connecter aux serveurs de mise à
jour.
Les données d'authentification telles que Nom d'utilisateur et Mot de passe permettent d'accéder au
serveur proxy. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis. Notez
que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur d'ESET Mail Security et ne doivent être
remplis que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet via un serveur
proxy.
Utiliser une connexion directe si le serveur proxy n'est pas disponible
Si un produit est configuré pour utiliser le proxy HTTP et que ce dernier est injoignable, le produit ignore le proxy
et communique directement avec les serveurs ESET.
Partages Windows
Lors d'une mise à jour depuis un serveur local exécutant Windows, une authentification est par défaut exigée
pour chaque connexion réseau.
Se connecter au reseau local en tant que
Pour configurer votre compte, sélectionnez l'une des options suivantes :
• Compte système (par défaut) : permet d'utiliser le compte système pour l'authentification. En règle
générale, aucun traitement d'authentification n'a lieu si les données d'authentification ne sont pas fournies
dans la section de configuration des mises à jour.
• Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à l'aide du
compte de l'utilisateur connecté. L'inconvénient de cette solution est que le programme ne peut pas se
connecter au serveur de mise à jour si aucun utilisateur n'est connecté.
• Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Utilisez cette méthode en cas d'échec de la connexion avec le compte système. Notez que
le compte de l'utilisateur spécifié doit avoir accès au dossier des fichiers de mise à jour du serveur local.
Dans le cas contraire, le programme serait incapable d'établir une connexion ou de télécharger les mises à
jour.
211
Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se produire en cas
de changement de l'identité du programme pour l'utilisateur souhaité. C'est pour cette raison que nous
recommandons d'entrer les données d'authentification du réseau local dans la section de configuration des
mises à jour. Dans cette section de configuration des mises à jour, les données d'authentification doivent
être entrées comme suit : domain_name\user (dans le cas d'un groupe de travail, entrez
workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige
aucune authentification.
Se déconnecter du serveur après la mise à jour
Permet de forcer une déconnexion si la connexion au serveur reste active, même après le téléchargement des
mises à jour.
Miroir de mise à jour
Les options de configuration du serveur Miroir local se trouvent dans Configuration avancée (F5), sous l'onglet
Mise à jour > Profils > Miroir de mise à jour.
Restauration des mises à jour
Si vous pensez qu’une nouvelle mise à jour du moteur de détection ou des modules du programme peut être
instable ou endommagée, vous pouvez revenir à la version précédente et désactiver temporairement les mises à
jour. Vous pouvez également activer des mises à jour précédemment désactivées si vous les aviez reportées
indéfiniment.
ESET Mail Security enregistre des instantanés du moteur de détection et des modules du programme pour les
utiliser avec la fonctionnalité de restauration. Pour créer des instantanés de la base de données des virus,
conservez l'option Créer des instantanés des modules activée.
Lorsque l'option Créer des instantanés des modules est activée, le premier instantané est créé pendant la
première mise à jour. Le prochain est créé après 48 heures.
Le champ Nombre d’instantanés stockés localement définit le nombre d’instantanés du moteur de détection
stockés.
Lorsque le nombre maximal d’instantanés est atteint (trois, par exemple), l’instantané le plus ancien est
remplacé par un nouvel instantané toutes les 48 heures. ESET Mail Security restaure l'instantané le plus
ancien des versions de mise à jour du moteur de détection et du module du programme.
Si vous cliquez sur Restaurer, vous devez sélectionner une durée dans le menu déroulant qui représente la
période durant laquelle les mises à jour de la base du moteur de détection et celles des modules du programme
sont suspendues.
212
Sélectionnez Jusqu'à son retrait pour différer indéfiniment les mises à jour régulières jusqu'à ce que vous
restauriez manuellement cette fonctionnalité. Comme elle représente un risque potentiel pour la sécurité, nous
vous recommandons de ne pas sélectionner cette option.
Si une restauration est effectuée, le bouton Restaurer se transforme en Autoriser les mises à jour. Les mises à
jour ne sont pas autorisées pendant l’intervalle de temps sélectionné dans le menu déroulant Suspendre les
mises à jour.
La base du moteur de détection revient à la version la plus ancienne disponible, stockée sous forme d'instantané
dans le système de fichiers de l'ordinateur local.
Tâche planifiée : mise à jour
Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer deux profils de mise à
jour distincts. Si le premier ne permet pas de télécharger les fichiers de mise à jour, le programme bascule
automatiquement vers le second. Ce procédé est notamment adapté aux portables dont la mise à jour s'effectue
normalement depuis un serveur de mise à jour du réseau local, mais dont les propriétaires se connectent souvent
à Internet à partir d'autres réseaux. Par conséquent, en cas d'échec du premier profil, le second télécharge
automatiquement les fichiers de mise à jour à partir des serveurs de mise à jour d'ESET.
213
La procédure décrite ci-après vous permet d'utiliser une tâche pour modifier une mise à jour automatique
régulière existante.
1. Dans l'écran principal Planificateur, sélectionnez la tâche de mise à jour portant le nom Mise à jour
automatique régulière et cliquez sur Modifier pour ouvrir l'assistant de configuration.
2. Définissez la tâche du planificateur à exécuter et sélectionnez l'une des options de fréquence suivantes à
définir lorsque vous souhaitez exécuter la tâche planifiée :
3. Si vous souhaitez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (système
UPS, par exemple), cliquez sur le commutateur situé en regard de l'option Ignorer la tâche en cas
d’alimentation par batterie.
4. Sélectionnez le profil de mise à jour à utiliser pour la mise à jour. Sélectionnez une action à effectuer en
cas de non-exécution de la tâche planifiée, quel qu'en soit le motif.
5. Cliquez sur Terminer pour appliquer la tâche.
Miroir de mise à jour
ESET Mail Security permet de créer des copies des fichiers de mises à jour afin de les utiliser pour la mise à jour
d'autres postes de travail du réseau. L'utilisation d'un miroir, copie des fichiers de mise à jour dans
l'environnement du réseau local, s'avère pratique puisque les fichiers de mise à jour doivent être téléchargés du
serveur de mise à jour du fournisseur de manière répétée, pour toutes les stations de travail. Les mises à jour sont
téléchargées sur le serveur miroir local puis distribuées à toutes les stations de travail pour éviter tout risque de
surcharge du réseau.
La mise à jour de postes de travail à partir d'un miroir optimise l'équilibre de la charge réseau et libère les bandes
passantes des connexions Internet.
Pour minimiser le trafic Internet sur les réseaux sur lesquels ESET PROTECT est utilisé pour gérer de
nombreux clients, il est recommandé d'utiliser ESET Bridge plutôt que de configurer un client comme
miroir. ESET Bridge peut être installé avec ESET PROTECT à l’aide du programme d’installation tout-en-un
ou en tant que composant autonome. Pour plus d’informations et pour connaître les différences entre ESET
Bridge, Apache HTTP Proxy, Mirror Tool et la connectivité directe, consultez la page d'aide en ligne ESET
PROTECT.
Miroir de mise à jour
Créer un miroir de mise à jour : active les options de configuration du miroir.
Accéder aux fichiers de mise à jour
Activer le serveur HTTP : Si cette option est activée, les fichiers de mise à jour sont accessibles via un serveur
HTTP. Aucune identifiant n'est requis.
Dossier de stockage : Cliquez sur Modifier pour accéder à un dossier sur l'ordinateur local ou à un dossier réseau
partagé. Si une autorisation pour le dossier spécifié est requise, les données d'authentification doivent être
entrées dans les champs Nom d'utilisateur et Mot de passe.
Cliquez sur Effacer si vous souhaitez changer un dossier par défaut défini pour stocker des fichiers en miroir
C:\ProgramData\ESET\ESET Security\mirror.
Serveur HTTP
Port du serveur : Le port par défaut est 2221. Changez cette valeur si vous utilisez un autre port.
214
Authentification
Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options disponibles
sont les suivantes : Aucune, Général et NTLM.
• Sélectionnez Général pour utiliser le codage base64 avec l'authentification de base du nom d'utilisateur
et mot de passe.
• L'option NTLM fournit un codage utilisant une méthode de codage fiable. L'utilisateur créé sur le poste
de travail partageant les fichiers de mise à jour est utilisé pour l'authentification.
• L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans exiger
d'authentification.
L'accès aux fichiers des mises à jour au moyen du serveur HTTP exige que le dossier miroir soit sur le même
ordinateur que l'instance ESET Mail Security qui l'a créé.
SSL pour serveur HTTP
Ajoutez votre fichier de chaîne de certificat ou générez un certificat signé automatiquement si vous souhaitez
exécuter le serveur HTTP avec la prise en charge HTTPS (SSL). Les types de certificats suivants sont disponibles :
PEM, PFX et ASN. Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de
mise à jour. Il est pratiquement impossible d'identifier des transferts de données et des informations de
connexion lorsque ce protocole est utilisé.
L'option Type de clé privée est définie sur Intégrée par défaut (ainsi, l'option Fichier de clé privée est désactivée
par défaut). Ce qui signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné.
Options de connexion
Partages Windows : Lors d'une mise à jour depuis un serveur local exécutant Windows, une authentification est
par défaut exigée pour chaque connexion réseau.
Se connecter au reseau local en tant que
Pour configurer votre compte, sélectionnez l'une des options suivantes :
• Compte système (par défaut) : permet d'utiliser le compte système pour l'authentification. Normalement,
aucun traitement d'authentification n'a lieu si les données d'authentification ne sont pas fournies dans la
section de configuration des mises à jour.
• Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à l'aide du
compte de l'utilisateur connecté. L'inconvénient de cette solution est que le programme ne peut pas se
connecter au serveur de mise à jour si aucun utilisateur n'est connecté.
• Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Utilisez cette méthode en cas d'échec de la connexion avec le compte système. Notez que
le compte de l'utilisateur spécifié doit avoir accès au dossier des fichiers de mise à jour du serveur local.
Dans le cas contraire, le programme ne pourrait pas établir de connexion et télécharger les mises à jour.
215
Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se produire en cas
de changement de l'identité du programme pour l'utilisateur souhaité. C'est pour cette raison que nous
recommandons d'entrer les données d'authentification du réseau local dans la section de configuration des
mises à jour. Dans cette section de configuration des mises à jour, les données d'authentification doivent
être entrées comme suit : domain_name\user (dans le cas d'un groupe de travail, entrez
workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige
aucune authentification.
Déconnecter du serveur après la mise à jour : permet de forcer une déconnexion si la connexion au serveur reste
active, même après le téléchargement des mises à jour.
Protection de l'accès réseau
Gérez la protection du réseau, cliquez sur Modifier pour en ajouter une autre ou modifier celle existante :
• Profil de connexion réseau
• Ajout ou modification d'un profil de connexion réseau
• Jeux d’adresses IP
Profil de connexion réseau
Un profil peut être utilisé pour contrôler le comportement de la protection de l'accès réseau d'ESET Mail Security
pour une connexion réseau spécifique. Lors de la création ou de la modification de règles de pare-feu, de règles
IDS ou de règles de protection contre les attaques par force brute, vous pouvez l'attribuer à un profil spécifique
ou l'appliquer à tous les profils. Lorsqu'un profil est actif sur une connexion réseau, seules les règles globales
(règles sans profil spécifié) et les règles affectées à ce profil lui sont appliquées. Vous pouvez facilement créer
plusieurs profils avec différentes règles attribuées aux connexions réseau pour modifier le comportement du
pare-feu.
Attribution de profil de connexion réseau : cette option vous permet de choisir si les connexions réseau
nouvellement découvertes sont automatiquement (sélectionnez Auto dans le menu déroulant) affectées à un
profil prédéfini ou personnalisé en fonction des activateurs configurés dans les profils de connexion réseau ou si
vous souhaitez être invité (sélectionnez Demander dans le menu déroulant) à configurer la protection du réseau
et à attribuer un profil manuellement chaque fois qu'une nouvelle connexion réseau est détectée.
Profils de connexion réseau : cliquez sur Modifier pour en ajouter un nouveau ou en modifier un existant.
Les profils suivants sont prédéfinis et ne peuvent pas être modifiés/supprimés :
Privé : pour les réseaux approuvés (réseau domestique ou professionnel). Votre ordinateur et les fichiers partagés
qui y sont stockés sont visibles par les autres utilisateurs du réseau, et les ressources du système sont accessibles
aux autres utilisateurs du réseau (l'accès aux fichiers et aux imprimantes partagés est activé, la communication
RPC entrante est activée et le partage du bureau à distance est disponible). Nous vous recommandons d'utiliser
ce paramètre lorsque vous accédez à un réseau local sécurisé. Ce profil est automatiquement attribué à une
connexion réseau si celle-ci est configurée en tant que domaine ou réseau privé dans Windows.
Public : pour les réseaux non approuvés (réseau public). Les fichiers et les dossiers de votre système ne sont ni
partagés ni visibles par les autres utilisateurs du réseau, et le partage des ressources système est désactivé. Nous
216
vous recommandons d'utiliser ce paramètre lors de l'accès aux réseaux sans fil. Ce profil est automatiquement
attribué à toute connexion réseau qui n'est pas configurée en tant que domaine ou réseau privé dans Windows.
Lorsque la connexion réseau passe à un autre profil, une notification s'affiche dans le coin inférieur droit de votre
écran.
Ajout ou modification d'un profil de connexion réseau
Le profil de connexion réseau personnalisé permet d'appliquer des règles de pare-feu et des règles de protection
contre les attaques par force brute, ainsi que de définir des paramètres supplémentaires pour des connexions
réseau spécifiques. Vous spécifiez à quelles connexions réseau le profil personnalisé est attribué dans la section
Activateurs.
Saisissez le nom et la description du profil.
Adresses toujours approuvées : les adresses définies ici sont ajoutées à la zone fiable des cartes connectées à ce
réseau (quel que soit le type de protection du réseau).
Connexion approuvée : votre ordinateur et les fichiers partagés qui y sont stockés sont visibles par les autres
utilisateurs du réseau, et les ressources du système sont accessibles aux autres utilisateurs du réseau (l'accès aux
fichiers et aux imprimantes partagés est activé, la communication RPC entrante est activée et le partage du
bureau à distance est disponible). Nous recommandons d'utiliser ce paramètre lors de la création d'un profil pour
une connexion sécurisée au réseau local. Tous les sous-réseaux du réseau directement connectés sont également
considérés comme approuvés. Par exemple, si une carte réseau est connectée à ce réseau avec l'adresse IP
192.168.1.5 et que le masque de sous-réseau est 255.255.255.0, le sous-réseau 192.168.1.0/24 est ajouté à la
zone fiable de cette connexion réseau. Si la carte possède plus d'adresses/sous-réseaux, ils seront tous
approuvés.
Avertir en cas de chiffrement Wi-Fi faible—ESET Mail Security vous informe lorsque vous vous connectez à un
réseau sans fil non protégé ou à un réseau dont la protection est faible.
Activateurs : définissez une combinaison d'attributs pour créer un activateur unique.
Activateurs
Les activateurs sont des conditions personnalisées qui doivent être remplies pour attribuer un profil de connexion
réseau à une connexion réseau. Si le réseau connecté possède les mêmes attributs que ceux définis dans les
activateurs d'un profil réseau connecté, le profil sera appliqué au réseau. Un profil de connexion réseau peut
avoir un ou plusieurs activateurs. S'il existe plusieurs activateurs, la logique OU s'applique (au moins une
condition doit être remplie). Vous pouvez définir des activateurs dans l'éditeur de profils de connexion réseau. Un
utilisateur expérimenté doit créer des profils de connexion réseau personnalisés.
Jeux d’adresses IP
Une jeu d'adresses IP représente un ensemble d'adresses réseau qui créent un groupe logique d'adresses IP, utile
lorsque vous devez réutiliser le même ensemble d'adresses dans plusieurs règles. Chaque adresse d'un groupe
donné se voit attribuer des règles similaires définies de manière centralisée pour l'ensemble du groupe. Un
exemple d'un tel groupe est une zone Fiable. Une zone Fiable représente un groupe d'adresses réseau qui ne sont
en aucun cas bloquées par le pare-feu. Les jeux d'adresses IP prédéfinis ne peuvent pas être supprimés.
217
Lorsque vous ajoutez ou modifiez un jeu d'adresses IP, les champs suivants sont disponibles :
• Nom : nom d’un groupe d’ordinateurs distants.
• Description : description générale du groupe.
• Adresse de l’ordinateur distant (IPv4, IPv6, plage, masque) : adresse distante, plage d’adresses ou sousréseau.
• Supprimer : supprime une zone de la liste.
Ajoutez une adresse IPv4 :
Adresse unique : ajoute l'adresse IP d'un ordinateur, par exemple, 192.168.0.10.
Plage d'adresses : saisissez les adresses IP de début et de fin pour indiquer la plage d'adresses IP de
plusieurs ordinateurs, par exemple, 192.168.0.1-192.168.0.99.
Sous-réseau : sous-réseau (groupe d'ordinateurs) défini par une adresse IP et un masque. Par exemple,
255.255.255.0 est le masque de réseau pour le sous-réseau 192.168.1.0. Pour exclure l'ensemble du type
de sous-réseau dans 192.168.1.0/24.
Ajoutez une adresse IPv6 :
Adresse unique : ajoute l'adresse IP d'un ordinateur, par exemple, 2001:718:1c01:16:214:22ff:fec9:ca5.
Sous-réseau : sous-réseau (groupe d'ordinateurs) défini par une adresse IP et un masque, par exemple,
2002:c0a8:6301:1::1/64.
Protection contre les attaques réseau
Activer la protection contre les attaques réseau (IDS)
Permet de configurer l'accès à certains services exécutés sur votre ordinateur à partir de la zone Fiable et
d'activer/désactiver la détection de plusieurs types d'attaques pouvant être utilisés pour porter atteinte à votre
ordinateur.
Activer la protection anti-botnet
Détecte et bloque les communications avec des serveurs de contrôle et de commande malveillants selon les
modèles classiques lorsque l'ordinateur est infecté et qu'un robot tente de communiquer.
Règles IDS
Vous pouvez comparer les exceptions IDS (Intrusion Detection System) à des règles de protection du réseau.
Cliquez sur modifier pour définir des règles IDS.
Si votre environnement utilise un réseau à haut débit (10 GbE et plus), lisez l'article de la base de
connaissances pour obtenir des informations sur les performances de vitesse réseau et ESET Mail Security.
Protection contre les attaques par force brute
ESET Mail Security inspecte le contenu du trafic réseau et bloque les tentatives d’attaques par devinette de mot
de passe.
Options avancées
Configurez les options de filtrage avancées pour détecter les différents types d’attaques et de vulnérabilités
218
pouvant toucher votre ordinateur.
Détection d’intrusion
Protocole SMB : détecte et bloque divers problèmes de sécurité dans le protocole SMB
Protocole RPC : détecte et bloque divers CVE dans le système d'appel des procédures à distance développé pour
l'environnement Distributed Computing Environment (DCE).
Protocole RDP : détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).
Bloquer l'adresse non sûre après une détection d'attaque : les adresses IP qui ont été identifiées comme sources
d'attaques sont ajoutées à la liste noire pour prévenir toute connexion pendant une certaine période.
Afficher une notification après la détection d'une attaque : active les notifications qui apparaissent dans la zone
de notification Windows, dans l'angle inférieur droit de l'écran.
Afficher également des notifications pour les attaques entrantes contre les trous de sécurité : vous avertit si des
attaques contre des trous de sécurité sont détectées ou si une menace tente d'accéder au système de cette
manière.
Vérification des paquets
Autoriser les connexions entrantes aux partages administratifs du protocole SMB : les partages administratifs
sont les partages réseau par défaut qui partagent les partitions de disque dur (C$, D$, ...) au sein du système,
ainsi que le répertoire système (ADMIN$). Désactiver la connexion aux partages administratifs peut limiter de
nombreux risques de sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se
connecter aux partages administratifs.
Refuser les dialectes SMB anciens (non pris en charge) : refuse des sessions SMB qui utilisent un ancien dialecte
SMB non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens
dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation tels que Windows 95.
Le pirate peut utiliser un ancien dialecte dans une session SMB dans le but d'échapper à l'inspection du trafic.
Refusez les anciens dialectes SMB si votre ordinateur n'a pas besoin de partager des fichiers (ou d'utiliser des
communications SMB en général) avec un ordinateur équipé d'une ancienne version de Windows.
Refuser les sessions SMB sans sécurité étendue : la sécurité étendue peut être utilisée au cours de la négociation
de session SMB, afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par
challenge/réponse du gestionnaire LAN (LM). Le schéma LM est considéré comme faible et son utilisation n'est
pas recommandée.
Autoriser la communication avec le service Security Account Manager : pour plus d'informations sur ce service,
voir [MS-SAMR].
Autoriser la communication avec le service Local Security Authority : pour plus d'informations sur ce service, voir
[MS-LSAD] et [MS-LSAT].
Autoriser la communication avec le service Remote Registry : pour plus d'informations sur ce service, voir [MSRRP].
Autoriser la communication avec le service Service Control Manager : pour plus d'informations sur ce service,
voir [MS-SCMR].
Autoriser la communication avec le service Server : pour plus d'informations sur ce service, voir [MS-SRVS].
Autoriser la communication avec les autres services : autres services MSRPC.
Règles IDS
Un système de détection d'intrusion (IDS) peuvent détecter les communications entre les box Internet ou d'autres
appareils de réseau interne comme une attaque potentielle. Par exemple, vous pouvez ajouter l'adresse sécurisée
connue à la zone Adresses exclues de l'IDS pour contourner le système de détection d'intrusion.
219
L'éditeur de règles IDS vous permet de personnaliser le comportement de la protection du réseau en fonction de
diverses règles IDS, qui sont évaluées de haut en bas.
La première règle correspondante est appliquée séparément pour chaque type d'action (Bloquer, Notifier,
Consigner). Haut/Monter/Bas/Descendrepermet d'ajuster le niveau de priorité des exceptions. Cliquez sur
Modifier pour modifier une règle IDS ou sur Supprimer pour la retirer.
Cliquez sur Ajouter pour créer une règle IDS :
• Détection—Type de détection.
• Nom de la menace—Vous pouvez spécifier un nom de menace pour certaines des détections disponibles.
• Application—Sélectionnez le chemin d’accès au fichier d’une application exceptée en cliquant sur ... (par
exemple C:\Program Files\Firefox\Firefox.exe). Ne saisissez pas le nom de l’application.
• Adresse IP distante—Indiquez une liste d'adresses IP (IPv4 ou IPv6) ou de sous-réseaux. Pour plusieurs
entrées, utilisez une virgule comme délimiteur.
• Profil—Vous pouvez choisir un profil de connexion réseau auquel cette règle s'appliquera.
L'onglet Exclusions s'affiche si un administrateur crée des règles IDS dans la console web ESET PROTECT On-Prem.
Les règles IDS qui contiennent des exclusions sont évaluées avant les autres.
Configurez le type d'action pour la règle IDS en sélectionnant l'une des options du menu déroulant. Les valeurs
disponibles sont Par défaut/Oui/Non.
• Bloquer—Si vous souhaitez qu'une notification soit affichée en cas d'alerte de règle IDS et que l'heure de
l'événement soit enregistrée, conservez le type d'action Bloquer sur Par défaut.
• Notifier—Sélectionnez Oui pour afficher les notifications sur le Bureau.
• Journal—Sélectionnez Oui pour consigner les événements dans les fichiers journaux d'ESET Mail Security.
Blocage d'un menace soupçonné
Cette situation peut se produire lorsqu'une application sur votre ordinateur tente de transmettre un trafic
malveillant à un autre ordinateur du réseau, en exploitant une faille de sécurité ou si quelqu'un tente d'analyser
des ports sur votre réseau.
• Menace—Nom de la menace.
• Source—Adresse du réseau source.
• Cible—Adresse du réseau cible.
• Arrêter le blocage—Crée une règle IDS pour la menace présumée avec des paramètres permettant la
communication.
• Continuer le blocage—Bloque la menace détectée. Pour créer une règle IDS avec des paramètres pour
bloquer la communication pour cette menace, sélectionnez Ne plus m’informer.
220
Les informations affichées dans cette fenêtre de notification peuvent varier en fonction du type de menace
détectée. Pour plus d'informations sur les menaces et d'autres termes associés, voir Types d’attaques
distantes ou Types de détections.
Liste noire temporaire des adresses IP
Affichez la liste des adresses IP qui ont été détectées comme source d'attaques et ajoutées à la liste noire pour
bloquer les connexions pendant une certaine période (jusqu'à une heure). Cette option permet d'afficher
l'adresse IP qui a été bloquée.
Motif du blocage
Indique le type d'attaque qui a été empêché à partir de l'adresse (par exemple, tentative d'exploitation d'une
vulnérabilité de la sécurité).
Délai dépassé
Indique l'heure et la date auxquelles l'adresse arrivera à expiration dans la liste noire.
Supprimer/Supprimer tout
Supprime l'adresse IP sélectionnée de la liste noire temporaire avant son expiration ou supprime immédiatement
toutes les adresses de la liste noire.
Ajouter une exception
Ajoute une exception de pare-feu dans le filtrage IDS pour l'adresse IP sélectionnée.
Protection contre les attaques par force brute
La protection contre les attaques par force brute bloque les attaques par devinette de mot de passe pour les
services RDP et SMB. Une attaque par force brute est une méthode permettant de deviner un mot de passe ciblée
en essayant systématiquement toutes les combinaisons possibles de lettres, de chiffres et de symboles.
• Activez la protection contre les attaques par force brute—ESET Mail Security inspecte le contenu du trafic
réseau et bloque les tentatives d’attaques par devinette de mot de passe.
• Règles—Permettent de créer, de modifier et d’afficher des règles pour les connexions réseau entrantes et
sortantes.
• Limiter les connexions RDP entrantes—Vous permet de restreindre les connexions RDP aux réseaux
répertoriés dans le jeu d'adresses IP de la zone de confiance (recommandé). Accédez à Protection de l'accès
réseau > Jeux d'adresses IP et modifiez le jeu d'adresse IP de la Zone de confiance pour inclure les réseaux,
les adresses IP ou les plages d'adresses IP à partir desquels vous autorisez spécifiquement les connexions
RDP au serveur. Vous pouvez également créer une règle IDS sous Protection contre les attaques réseau.
Cliquez sur Modifier en regard de l'option Règles IDS > Ajouter, sélectionnez Connexion RDP limitée dans le
menu déroulant Détection.
• Exclusions—Liste des détections exclues définies par une adresse IP ou un chemin d’accès d’application.
Vous pouvez créer et modifier des exclusions dans votre Console web ESET PROTECT.
221
Pour plus d'informations sur la protection contre les attaques par force brute, consultez l'article du guide
de sécurité numérique ESET.
Règles de Protection contre les attaques par force
brute
Les règles de protection contre les attaques par force brute permettent de créer, de modifier et d’afficher des
règles pour les connexions réseau entrantes et sortantes. Les règles prédéfinies ne peuvent pas être modifiées ni
supprimées. Créez une règle, cliquez sur Ajouter une nouvelle règle de protection contre les attaques par force
brute ou sur Modifier les entrées sélectionnées.
Afin d'assurer la meilleure protection possible, la règle de blocage ayant la valeur Nombre maximale de
tentatives la plus faible est appliquée même si la règle est positionnée plus bas dans la liste des règles
lorsque plusieurs règles de blocage correspondent aux conditions de détection.
Cette fenêtre vous donne une vue d'ensemble des règles de protection contre les attaques par force brute
existantes.
Nom
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Activé(e)
Désactivez ce commutateur si vous souhaitez conserver la règle dans la liste, mais ne
souhaitez pas l'utiliser.
Action
La règle spécifie une action (Autoriser ou Refuser) à exécuter, si les conditions sont
remplies.
Protocole
Protocole de communication inspectée par cette règle.
Profil
Des règles personnalisées peuvent être définies et appliquées pour un profil de
connexion réseau spécifique.
Nombre maximale de
tentatives
Nombre maximal de tentatives autorisées de répétition d'attaques jusqu'à ce que
l'adresse IP soit bloquée et ajoutée à la liste noire.
Période de conservation Définit le délai d’expiration de l'adresse dans la liste noire. La période par défaut pour
de la liste noire (min)
compter le nombre de tentatives est de 30 minutes.
IP source
Liste des sous-réseaux, des plages et des adresses IP. Plusieurs adresses doivent être
séparées par une virgule.
Jeux d'adresses IP
sources
Jeu d'adresses IP que vous avez déjà défini dans les jeux d'adresses IP.
Exclusions de la protection contre les attaques par
force brute
Les exclusions des attaques par force brute peuvent être utilisées pour supprimer la détection des attaques par
force brute pour des critères spécifiques. Ces exclusions sont créées dans ESET PROTECT sur la base de la
détection des attaques par force brute. Les exclusions sont affichées si un administrateur crée des exclusions
d'attaques de force brute dans la console web ESET PROTECT Web Console. Les exclusions peuvent contenir
uniquement des règles d'autorisation et sont évaluées avant les règles IDS.
• Détection—Type de détection.
222
• Application—Sélectionnez le chemin d’accès au fichier d’une application exceptée en cliquant sur ... (par
exemple C:\Program Files\Firefox\Firefox.exe). Ne saisissez pas le nom de l’application.
• IP distante—Liste d'adresses IPv4 ou IPv6/plages/sous-réseaux distants. Plusieurs adresses doivent être
séparées par une virgule.
Internet et messagerie
Vous pouvez configurer le filtrage des protocoles, la protection du client de messagerie, la protection de l'accès
Web et l'anti-hameçonnage pour protéger votre serveur lors des communications Internet.
Protection du client de messagerie
Contrôle toute la communication par e-mail, protège des codes malveillants et vous permet de choisir l'action à
entreprendre en cas de détection d'infection.
Protection de l'accès Web
Surveille la communication entre les navigateurs Internet et les serveurs distants, conformément aux règles des
protocoles HTTP et HTTPS. Cette fonctionnalité permet également de bloquer, d'autoriser et d'exclure certaines
adresses URL.
Filtrage des protocoles
Offre une protection avancée destinée aux protocoles d'application et fournie par le moteur d'analyse
ThreatSense. Ce contrôle fonctionne automatiquement, que le programme utilisé soit un navigateur Internet ou
un client de messagerie. Il fonctionne également pour la communication chiffrée (SSL/TLS).
Protection antihameçonnage
Permet de bloquer les pages Web connues pour diffuser du contenu d'hameçonnage.
Filtrage des protocoles
La protection contre les logiciels malveillants des protocoles d'application est fournie par le moteur d'analyse
ThreatSense qui intègre plusieurs techniques avancées d'analyse des logiciels malveillants. Le filtrage des
protocoles fonctionne automatiquement, indépendamment du navigateur Internet ou du client de messagerie
utilisés. Si le filtrage des protocoles est activé, ESET Mail Security vérifie les communications qui utilisent le
protocole SSL/TSL. Accédez à Internet et messagerie > SSL/TLS.
Activer le filtrage de contenu des protocoles d'application
Si vous désactivez le filtrage des protocoles, notez que la plupart des composants d'ESET Mail Security (protection
de l'accès Web, protection des protocoles de messagerie et protection antihameçonnage) dépendent de ce
filtrage et que leurs fonctionnalités ne seront pas disponibles.
Applications exclues
Pour exclure du filtrage de contenu la communication de certaines applications sensibles au réseau, sélectionnez
ces applications dans la liste. Aucune recherche de menace n'est effectuée sur la communication HTTP/POP3 des
applications sélectionnées. Cette option permet d'exclure des applications spécifiques du filtrage des protocoles.
223
Cliquez sur Modifier et Ajouter pour sélectionner un exécutable dans la liste des applications afin de l'exclure du
filtrage des protocoles.
Il est recommandé d'utiliser cette option uniquement pour les applications qui ne fonctionnent pas
correctement lorsque leur communication est vérifiée.
Adresses IP exclues
Permet d'exclure des adresses distantes spécifiques du filtrage des protocoles. Les adresses IP figurant dans cette
liste sont exclues du filtrage du contenu des protocoles. Les menaces ne sont pas détectées sur les
communications HTTP/POP3/IMAP liées aux adresses sélectionnées.
Il est recommandé d'utiliser cette option uniquement pour les adresses que vous savez être fiables.
Cliquez sur Modifier et Ajouter pour indiquer l'adresse IP, la plage d'adresses ou le sous-réseau auquel l'exclusion
sera appliquée. Lorsque vous sélectionnez Entrer plusieurs valeurs, vous pouvez ajouter plusieurs adresses IP en
les séparant par des nouvelles lignes, des virgules ou des points-virgules. Lorsque la sélection multiple est activée,
les adresses s'affichent dans la liste des adresses IP exclues.
Les exclusions s'avèrent utiles lorsque le filtrage des protocoles entraîne des problèmes de compatibilité.
Internet et clients de messagerie
À cause du nombre considérable de codes malveillants circulant sur Internet, la sécurisation de la navigation sur
Internet est un aspect très important de la protection des ordinateurs. Les vulnérabilités des navigateurs Internet
et les liens frauduleux contribuent à faciliter l'accès imperceptible au système par des codes malveillants. C'est
pourquoi ESET Mail Security se concentre sur la sécurité des navigateurs Internet. Chaque application accédant au
réseau peut être marquée comme étant un navigateur Internet. Les applications qui ont déjà utilisé des
protocoles pour les communications ou les applications des chemins d'accès sélectionnés peuvent être ajoutées à
la liste Internet et clients de messagerie.
SSL/TLS
ESET Mail Security peut rechercher des menaces dans les communications qui utilisent le protocole SSL (Secure
Sockets Layer)/TLS (Transport Layer Security).
Vous pouvez utiliser plusieurs modes d'analyse pour examiner les communications SSL protégées à l'aide de
certificats approuvés, de certificats inconnus ou de certificats exclus de la vérification des communications SSL
protégées.
Activer le filtrage du protocole SSL/TLS
Si le filtrage des protocoles est désactivé, le programme n'analyse pas les communications sur le protocole
SSL/TLS. Le mode de filtrage du protocole SSL/TLS est disponible dans les options suivantes :
• Mode automatique : Sélectionnez cette option pour analyser toutes les communications SSL/TLS
protégées, à l'exception de celles protégées par des certificats exclus de la vérification. Si une nouvelle
communication utilisant un certificat signé inconnu est établie, vous n'êtes pas informé et la communication
est automatiquement filtrée. Lorsque vous accédez à un serveur disposant d'un certificat non approuvé
224
indiqué comme fiable (il figure dans la liste des certificats approuvés), la communication vers le serveur est
autorisée et le contenu du canal de communication est filtré.
• Mode interactif : Si vous entrez un nouveau site protégé par SSL/TLS (avec un certificat inconnu), une
boîte de dialogue de sélection d'action s'affiche. Ce mode vous permet de créer la liste des certificats
SSL/TLS qui seront exclus de l'analyse.
• Mode de politique - Toutes les connexions SSL/TLS sont filtrées, à l'exception des exclusions configurées.
Liste des applications filtrées par le protocole SSL/TLS
Ajoutez une application filtrée et définissez l'une des actions d'analyse. La liste des applications filtrées SSL/TSL
peut être utilisée pour personnaliser le comportement d'ESET Mail Security pour des applications SSL/TLS
spécifiques et mémoriser les actions choisies en cas de sélection du mode interactif dans le mode de filtrage de
protocole SSL/TLS.
Liste des certificats connus
Permet de personnaliser le comportement d'ESET Mail Security pour des certificats SSL spécifiques. Pour afficher
et gérer la liste, cliquez sur l'option Modifier située en regard de Liste des certificats connus.
Exclure la communication avec les domaines approuvés
Permet d'exclure les communications utilisant les certificats de validation étendue de la vérification des
protocoles (banque en ligne).
Bloquer les communications chiffrées à l’aide du protocole obsolète SSL v2
Les communications utilisant cette version antérieure du protocole SSL sont automatiquement bloquées.
Certificat racine
Sélectionnez cette option pour ajouter automatiquement le certificat racine d'ESET aux navigateurs connus
(Opera et Firefox par exemple). L'option Ajouter le certificat racine aux navigateurs connus doit être activée.
Sélectionnez cette option pour ajouter automatiquement le certificat racine d'ESET aux navigateurs connus
(Opera et Firefox par exemple). Pour les navigateurs utilisant le magasin de certification système, le certificat est
ajouté automatiquement (Internet Explorer par exemple).
Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails >
Copier dans un fichier, puis importez-le manuellement dans le navigateur.
Validité du certificat
S'il est impossible de vérifier le certificat à l'aide de la bibliothèque de certificats TRCA
Dans certains cas, il est impossible de vérifier le certificat d'un site Web à l'aide du magasin d'Autorités de
certification racine de confiance. Cela signifie que le certificat est signé par un utilisateur (l'administrateur d'un
serveur Web ou d'une petite entreprise, par exemple) et que le fait de le considérer comme fiable n'est pas
toujours un risque. La plupart des grandes entreprises (les banques par exemple) utilisent un certificat signé par
TRCA.
Si l'option Interroger sur la validité du certificat est activée (sélectionnée par défaut), l'utilisateur est invité à
225
sélectionner une action à entreprendre lorsque la communication chiffrée est établie. Vous pouvez sélectionner
Bloquer toute communication utilisant le certificat pour mettre toujours fin aux connexions chiffrées aux sites
avec des certificats non vérifiés.
Si le certificat est non valide ou endommagé
Cela signifie qu'il est arrivé à expiration ou que sa signature est incorrecte. Dans ce cas, il est recommandé de
conserver l'option Bloquer toute communication utilisant le certificat activée.
Liste des certificats connus
Permet de personnaliser le comportement d'ESET Mail Security pour des certificats SSL/TLS spécifiques et de
mémoriser les actions choisies en cas de sélection du mode interactif dans le mode de filtrage de protocole
SSL/TLS. Vous pouvez configurer un certificat sélectionné ou ajouter un certificat depuis une URL ou un fichier.
Dans la fenêtre Ajouter un certificat, cliquez sur URL ou Fichier, puis indiquez l'URL du certificat ou accédez à un
fichier de certificat. Les champs suivants seront automatiquement renseignés avec les données du certificat :
• Nom du certificat : nom du certificat.
• Émetteur du certificat : nom du créateur du certificat.
• Objet du certificat : le champ d'objet identifie l'entité associée à la clé publique stockée dans le champ
d'objet de la clé publique.
Action d’accès
• Automatique : permet d'autoriser les certificats approuvés et demander quelle action effectuer pour les
certificats non approuvés.
• Autoriser ou Bloquer : permet d'autoriser/bloquer les communications sécurisées par ce certificat
indépendamment de sa fiabilité.
• Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
Action d’analyse
• Automatique : permet d'effectuer une analyse en mode automatique et de demander quelle action
entreprendre en mode interactif.
• Analyser ou Ignorer : permet d'analyser ou d'ignorer les communications sécurisées par ce certificat.
• Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
Communication SSL chiffrée
Si votre système est configuré pour utiliser l'analyse du protocole SSL, une boîte de dialogue vous invitant à
choisir une action peut s'afficher dans les deux cas suivants :
Lorsqu'un site Web utilise un certificat non valide ou ne pouvant pas être vérifié et qu'ESET Mail Security est
226
configuré pour demander à l'utilisateur l'action à effectuer dans ce cas (par défaut, oui pour les certificats ne
pouvant pas être vérifiés, non pour les certificats non valides), une boîte de dialogue s'affiche pour autoriser ou
bloquer la connexion.
Lorsque l'option Mode de filtrage du protocole SSL est définie sur Mode interactif, une boîte de dialogue
demande pour chaque site Web d'analyser ou d'ignorer le trafic. Certaines applications vérifient que le trafic SSL
n'est ni modifié ni inspecté par quelqu'un. Dans ce cas, ESET Mail Security doit ignorer ce trafic pour que les
applications continuent de fonctionner.
Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions enregistrées sont
stockées dans la liste des certificats connus.
Protection du client de messagerie
L'intégration d'ESET Mail Security aux clients de messagerie augmente le niveau de protection active contre les
codes malveillants dans les messages électroniques. Si votre client de messagerie est pris en charge, l'intégration
peut être activée dans ESET Mail Security. Lorsque l'intégration est activée, la barre d'outils d'ESET Mail Security
est insérée directement dans le client de messagerie, ce qui permet une protection plus efficace des messages.
Les paramètres d'intégration sont situés sous Configurations avancées (F5) > Internet et messagerie > Protection
du client de messagerie > Intégration du client de messagerie.
Intégration aux clients de messagerie
Microsoft Outlook est actuellement le seul client de messagerie pris en charge. La protection de la messagerie
fonctionne comme un module d'extension. L'avantage principal du plug-in réside dans le fait qu'il est indépendant
du protocole utilisé. Lorsqu'un client de messagerie reçoit un message chiffré, il le déchiffre et l'envoie au scanner
227
de virus. Pour obtenir la liste complète des clients de messagerie pris en charge et leurs versions, reportez-vous à
cet article de la base de connaissances.
Optimisation de la gestion des pièces jointes : si l'optimisation est désactivée, toutes les pièces jointes sont
analysées immédiatement. Lorsqu'elle est désactivée, elle peut ralentir les performances du client de messagerie.
Traitement avancé du client de messagerie : Si vous constatez un ralentissement du système lors de l'utilisation
du client de messagerie, désactivez cette option.
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et
Windows Live Mail. Ce module fonctionne comme un plug-in pour ces programmes. L'avantage principal du plugin réside dans le fait qu'il est indépendant du protocole utilisé. Lorsqu'un client de messagerie reçoit un message
chiffré, il le déchiffre et l'envoie au scanner de virus. Même si l'intégration n'est pas activée, les communications
par e-mail sont toujours protégées par le module de protection du client de messagerie (POP3, IMAP).
Activer la protection de messagerie par les plug-ins clients
Permet de désactiver la protection du client de messagerie sans supprimer l'intégration dans votre client de
messagerie. Vous pouvez désactiver tous les plug-ins à la fois ou désactiver les éléments suivants de manière
sélective :
• Courrier reçu : Active/désactive la vérification des messages reçus.
• Courrier envoyé : Active/désactive la vérification des messages envoyés.
• Courrier lu : Active/désactive la vérification des messages lus.
• E-mail modifié : Active/désactive la vérification des messages modifiés.
Action à exécuter sur le courrier électronique infecté
• Aucune action : Si cette option est activée, le programme identifie les pièces jointes infectées, mais
n'entreprend aucune action sur les messages concernés.
• Supprimer les courriers : Le programme avertit l'utilisateur à propos d'une infiltration et supprime le
message.
• Déplacer les courriers vers le dossier Éléments supprimés : Les courriers infectés sont automatiquement
placés dans le dossier Éléments supprimés.
• Déplacer les courriers vers le dossier : Les courriers infectés sont automatiquement placés dans le dossier
spécifié.
Dossier
Spécifiez le dossier personnalisé vers lequel les messages infectés doivent être déplacés lorsqu'ils sont détectés.
Protocoles de messagerie
Activer la protection de messagerie par le filtrage de protocoles
Les protocoles IMAP et POP3 sont les protocoles les plus répandus pour la réception de messages dans un client
228
de messagerie. ESET Mail Security protège ces protocoles, quel que soit le client de messagerie utilisé.
ESET Mail Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent un canal
chiffré pour transférer des informations entre un serveur et un client. ESET Mail Security contrôle la
communication à l'aide des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme
analyse uniquement le trafic sur les ports définis dans les ports utilisés par le protocole IMAPS/POP3S, quelle que
soit la version du système d'exploitation.
Configuration du moteur d'analyse IMAPS/POP3S
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer
l'analyse des communications chiffrées, accédez à l'option Contrôle de protocole SSL/TLS.
Le numéro de port identifie le type du port. Voici les ports de messagerie par défaut pour :
Nom du port
Numéros de port
Description
POP3
110
Port non chiffré POP3 par défaut.
IMAP
143
Port non chiffré IMAP par défaut.
IMAP sécurisé (IMAP4-SSL)
585
Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports doivent être séparés par une virgule.
IMAP4 sur SSL (IMAPS)
993
Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports doivent être séparés par une virgule.
POP3 sécurisé (SSL-POP)
995
Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports doivent être séparés par une virgule.
Notifications d'e-mail
La protection de la messagerie permet de contrôler les communications reçues via les protocoles POP3 et IMAP.
ESET Mail Security utilise le plug-in pour Microsoft Outlook et d'autres clients de messagerie pour contrôler
toutes les communications impliquant le client de messagerie (POP3, MAPI, IMAP, HTTP).
Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancées comprises
dans le moteur d'analyse ThreatSense. Autrement dit, la détection des programmes malveillants s'effectue avant
la comparaison avec la base de détection de virus. L'analyse des communications via le protocole POP3 et IMAP
est indépendante du client de messagerie utilisé.
Après la vérification d'un courrier, une notification avec le résultat de l'analyse peut être ajoutée au message.
Vous pouvez sélectionner Ajouter une notification aux messages reçus et lus ou Ajouter une notification aux
messages envoyés.
Gardez à l'esprit qu'en de rares occasions, les notifications peuvent être omises en cas de messages HTML
problématiques ou de messages élaborés par un logiciel malveillant. Les notifications peuvent être ajoutées aux
messages reçus et lus, aux messages envoyés, ou aux deux catégories.
Les options disponibles sont les suivantes :
• Jamais : Aucune notification n'est ajoutée.
• Lorsqu'une détection se produit – Seuls les messages contenant un code malveillant sont marqués
comme contrôlés (valeur par défaut).
• À tous les e-mails lors de l'analyse : Le programme ajoute des messages à tout e-mail analysé.
Texte à ajouter à l'objet d'un e-mail détecté
Modifiez ce texte si vous souhaitez modifier le format du préfixe de l'objet d'un courrier infecté. Cette fonction
229
remplace l'objet du message Hello au format suivant : "[detection %DETECTIONNAME%] Bonjour. La
variable %DETECTIONNAME% représente la détection.
Barre d'outils Microsoft Outlook
La protection Microsoft Outlook fonctionne comme un module plugin. Après l'installation d'ESET Mail Security,
cette barre d'outils contenant les options de protection contre les logiciels malveillants est ajoutée à
Microsoft Outlook :
ESET Mail Security
Cliquez sur l'icône pour ouvrir la fenêtre principale du programme ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer manuellement la vérification des messages. Vous pouvez indiquer les messages à vérifier et
activer une nouvelle analyse du message reçu. Pour plus d'informations, consultez la section Protection du client
de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Barre d'outils Outlook Express et Windows Mail
La protection pour Outlook Express et Windows Mail fonctionne comme un module plugin. Après l'installation
d'ESET Mail Security, cette barre d'outils contenant les options de protection contre les logiciels malveillants est
ajoutée à Outlook Express ou à Windows Mail :
ESET Mail Security
Cliquez sur l'icône pour ouvrir la fenêtre principale du programme ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer manuellement la vérification des messages. Vous pouvez indiquer les messages à vérifier et
activer une nouvelle analyse du message reçu. Pour plus d'informations, consultez la section Protection du client
de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Personnaliser l'apparence
Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie. Désactivez cette option
pour personnaliser l'apparence indépendamment des paramètres du programme de messagerie.
• Afficher le texte - Affiche des descriptions des icônes.
• Texte à droite - Les descriptions d'options sont déplacées du bas vers le côté droit des icônes.
230
• Grandes icônes - Affiche des icônes de grande taille pour les options de menu.
Boîte de dialogue de confirmation
Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce qui devrait
éliminer des erreurs possibles. La boîte de dialogue offre également la possibilité de désactiver les confirmations.
Analyser à nouveau les messages
La barre d'outils d'ESET Mail Security intégrée dans les clients de messagerie permet aux utilisateurs de spécifier
plusieurs options pour la vérification du courrier électronique. L'option Analyser à nouveau les messages offre
deux modes d'analyse :
• Tous les messages du dossier en cours : analyse les messages du dossier affiché.
• Messages sélectionnés uniquement : analyse uniquement les messages marqués par l'utilisateur.
• Réanalyser les messages déjà analysés : permet d'exécuter une autre analyse sur des messages déjà
analysés.
Protection de l'accès Web
La protection de l'accès Web opère par surveillance des communications entre les navigateurs Internet et les
serveurs distants pour vous protéger des menaces en ligne, conformément aux règles des protocoles HTTP et
HTTPS (communications chiffrées).
L'accès aux pages Web connues pour comporter du contenu malveillant est bloqué avant le téléchargement du
contenu. Toutes les autres pages Web sont analysées par le moteur d'analyse ThreatSense lors de leur
chargement et sont bloquées en cas de détection de contenu malveillant. La protection de l'accès Web offre deux
niveaux de protection : un blocage par liste noire et un blocage par contenu.
Général
Il est vivement recommandé de conserver l'option de protection de l'accès Web activée. Cette option est
accessible dans la fenêtre principale de ESET Mail Security depuis Configuration > Internet et messagerie >
Protection de l'accès Web.
Activer l'analyse avancée des scripts de navigateur
Par défaut, tous les programmes JavaScript exécutés par les navigateurs web sont contrôlés par le moteur de
détection.
Protocoles Web
231
Permet de configurer le contrôle de ces protocoles standard qui sont utilisés par la plupart des navigateurs
Internet. Par défaut, ESET Mail Security est configuré pour contrôler le protocole HTTP utilisé par la plupart des
navigateurs Internet.
ESET Mail Security prend également en charge le contrôle de protocole HTTPS. Les communications HTTPS
utilisent un canal chiffré pour transférer des informations entre un serveur et un client. ESET Mail Security
contrôle les communications à l'aide des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le
programme analyse uniquement le trafic sur les ports définis dans les ports utilisés par le protocole HTTPS,
quelle que soit la version du système d'exploitation.
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer
l'analyse des communications chiffrées, accédez à Configuration avancée (F5) > Internet et messagerie > SSL/TLS.
Paramètres ThreatSense
Permet de configurer des paramètres tels que les types d'analyses (courriers électroniques, archives, exclusions,
limites, etc.) et les méthodes de détection pour la protection de l'accès Web.
Gestion des adresses URL
La gestion d'adresse URL permet de spécifier des listes d'adresses HTTP qui seront bloquées, autorisées ou
exclues de la vérification. Les sites Web qui figurent dans la liste des adresses bloquées ne sont pas accessibles,
sauf s'ils sont également inclus dans la liste des adresses autorisées. Les sites Web qui se trouvent dans la liste des
adresses exclues de la vérification ne font pas l'objet d'une analyse de code malveillant lors de leur accès. L'option
Filtrage du protocole SSL/TLS doit être activée si vous souhaitez filtrer les adresses HTTPS en plus des pages Web
HTTP. Sinon, seuls les domaines des sites HTTPS que vous avez visités sont ajoutés et non l'URL complète.
Une liste d'adresses bloquées peut contenir les adresses d'une liste noire publique externe et une autre liste peut
comporter votre propre liste noire, ce qui simplifie la mise à jour de la liste externe tout en conservant la vôtre
intacte.
Cliquez sur Modifier et Ajouter pour créer une liste d'adresses en plus des listes prédéfinies. Cela peut s'avérer
utile si vous souhaitez diviser de manière logique des groupes différents d'adresses. Par défaut, les trois listes
suivantes sont disponibles :
• Liste des adresses exclues de la vérification - Aucune vérification de la présence de code malveillant n'est
effectuée pour les adresses répertoriées dans la liste.
• Liste des adresses autorisées - Si l'option N'autoriser l'accès qu'aux adresses HTTP figurant dans la liste
des adresses autorisées est activée et si la liste des adresses bloquées contient un astérisque (correspond à
tout), l'utilisateur n'est autorisé à accéder qu'aux adresses répertoriées dans cette liste. Les adresses de
cette liste sont autorisées même si elles sont incluses dans la liste des adresses bloquées.
• Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses répertoriées dans
cette liste, à moins qu'elles ne figurent également dans la liste des adresses autorisées.
232
Vous pouvez ajouter une nouvelle adresse URL à la liste. Vous pouvez également saisir plusieurs valeurs avec un
séparateur. Cliquez sur Modifier pour changer une adresse existante dans la liste ou sur Supprimer pour la
supprimer. La suppression n'est possible que pour les adresses créées avec l'option Ajouter, pas pour celles ayant
été importées.
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux « * » (astérisque) et « ? » (point d'interrogation).
L'astérisque représente n'importe quel chiffre ou caractère, alors que le point d'interrogation symbolise un seul
caractère. Un soin particulier doit être apporté à la spécification des adresses exclues, car la liste ne doit contenir
que des adresses sûres et fiables. De la même manière, veillez à employer correctement les symboles « * » et
« ? » dans cette liste.
Si vous souhaitez bloquer toutes les adresses HTTP, à l'exception des adresses figurant dans la liste active
des adresses autorisées, ajoutez un astérisque (*) à la liste active des adresses bloquées.
Créer une liste
La liste contiendra les masques d'URL/de domaine souhaités qui seront bloqués, autorisés ou exclus de la
vérification. Lors de la création d'une liste, indiquez les paramètres suivants :
• Type de liste d’adresses : sélectionnez le type (Exclues de la vérification, Bloquées ou Autorisées) de la
liste déroulante.
• Nom de liste : indiquez le nom de la liste. Ce champ apparaît grisé lors de la modification de l'une des trois
listes prédéfinies.
• Description de la liste : tapez une brève description de la liste (facultatif). Ce champ apparaît en grisé lors
de la modification de l'une des trois listes prédéfinies.
• List active : utilisez le commutateur pour désactiver la liste. Vous pouvez la réactiver ultérieurement en
233
cas de besoin.
• Notifier lors de l'application : si vous souhaitez être averti lorsqu'une liste est utilisée pour l'évaluation
d'un site HTTP/HTTPS visité. Une notification est émise lorsqu'un site Web est bloqué ou autorisé en raison
de son inclusion dans la liste des adresses bloquées ou autorisées. La notification contient le nom de la liste
dans laquelle figure le site Web spécifié.
• Niveau de verbosité : sélectionnez le niveau de verbosité (Aucun, Diagnostic, Informations ou
Avertissement) dans la liste déroulante. Les entrées avec le niveau de verbosité Avertissement peuvent être
collectées par ESET PROTECT.
ESET Mail Security permet de bloquer l'accès à des sites Web spécifiques et d'empêcher le navigateur Internet
d'en afficher le contenu. Par ailleurs, il permet à l'utilisateur de spécifier des adresses à exclure de la vérification.
Si l'utilisateur ignore le nom complet du serveur distant ou s'il souhaite spécifier un groupe de serveurs distants, il
peut employer des « masques ».
Ces masques peuvent contenir les symboles « ? » et « * » :
• utilisez ? pour représenter un caractère quelconque ;
• utilisez * pour représenter une chaîne de caractères.
*.c?m désigne toutes les adresses dont la dernière partie commence par la lettre c et se termine par la
lettre m, avec un caractère inconnu entre les deux (.com, .cam, etc.).
Une séquence initiale « *. » est traitée spécialement si elle est utilisée au début d'un nom de domaine. Pour
commencer, le caractère générique * ne peut pas représenter un caractère barre oblique (« / ») dans ce cas. Par
exemple, le masque *.domaine.com ne correspondra pas à http://toutdomaine.com/toutchemin#.domaine.com
(un tel suffixe peut être ajouté à toute adresse URL sans affecter le téléchargement). Ensuite, le « *. » correspond
également à une chaîne vide dans ce cas spécial. Elle vise à permettre une correspondance avec tout le domaine,
y compris tous les éventuels sous-domaines en utilisant un seul et unique masque. Par exemple, le masque
*.domaine.com correspond également à http://domaine.com. L'utilisation de *domaine.com serait incorrecte, car
ce masque correspondrait aussi à http://unautredomaine.com.
Entrez plusieurs valeurs
Ajoutez plusieurs adresses URL en les séparant par des nouvelles lignes, des virgules ou des points-virgules.
Lorsque la sélection multiple est activée, les adresses s'affichent dans la liste.
234
Importer
Fichier texte comportant des adresses URL à importer (séparez les valeurs par un saut de ligne, par exemple *.txt
utilisant le codage UTF-8).
Protection Web antihameçonnage
Le terme d'hameçonnage (phishing en anglais) désigne une activité frauduleuse qui consiste à manipuler les
utilisateurs pour obtenir des informations confidentielles. L'hameçonnage est souvent utilisé pour accéder à des
données sensibles, telles que des numéros de comptes bancaires, des codes secrets, etc.
ESET Mail Security comprend la protection antihameçonnage qui bloque les pages Web connues pour diffuser ce
type de contenu. Il est vivement recommandé d'activer la fonctionnalité antihameçonnage dabs ESET Mail
Security. Pour plus d'informations sur la protection antihameçonnage dans ESET Mail Security, consultez notre
article de la base de connaissances .
Lorsque vous accédez à un site Web d'hameçonnage reconnu, la boîte de dialogue suivante s'affiche dans votre
navigateur Web. Si vous souhaitez toujours accéder au site Web, cliquez sur Ignorer la menace (non
recommandé).
235
Par défaut, les sites Web d'hameçonnage potentiels que vous avez ajoutés à la liste blanche expirent
plusieurs heures après. Pour autoriser un site Web de manière permanente, utilisez l'outil Gestion des
adresses URL.
Signaler un site d'hameçonnage
Si vous rencontrez un site Web suspect qui semble effectuer des activités d'hameçonnage ou malveillantes, vous
pouvez le signaler à ESET pour analyse. Avant de soumettre un site Web à ESET, assurez-vous qu'il répond à au
moins l'un des critères suivants :
• Le site Web n'est pas du tout détecté.
• Le site Web est détecté à tort comme une menace. Dans ce cas, vous pouvez signaler un site faux positif
de hameçonnage.
Vous pouvez également soumettre le site Web par e-mail. Envoyez votre message à l'adresse samples@eset.com.
Veillez à utiliser un objet descriptif et indiquez le plus d'informations possible sur le site Web (notez, par exemple,
le site Web référant, comment vous avez appris l'existence du site Web, etc.).
Contrôle de périphérique
ESET Mail Security permet un contrôle automatique des appareils (CD/DVD/USB). Ce module permet d'analyser,
de bloquer ou d'ajuster les filtres étendus/autorisations, et de définir les autorisations des utilisateurs à accéder à
un périphérique et à l'utiliser. Ce procédé peut être utile si l'administrateur souhaite empêcher l'utilisation de
appareils avec du contenu indésirable.
236
Lorsque vous activez le contrôle des appareils à l'aide du commutateur Intégrer au système, la
fonctionnalité de contrôle de ESET Mail Security est activée. Vous devrez toutefois redémarrer votre
ordinateur pour que cette modification soit prise en compte
Le contrôle des appareils devient actif, ce qui vous permet de modifier les paramètres. Si un appareil bloqué par
une règle existante est détecté, une fenêtre de notification s'affiche et l'accès au appareil n'est pas accordé.
Règles
Une règle de contrôle des appareils définit l'action qui sera exécutée lorsqu'un appareil répondant aux critères de
la règle est connecté à l'ordinateur.
Groupes
Lorsque vous cliquez sur Modifier, vous pouvez gérer les groupes de appareils. Créez un groupe de appareils ou
sélectionnez un groupe existant pour ajouter ou supprimer des appareils dans la liste.
Vous pouvez consulter les entrées du journal du contrôle des appareils dans Fichiers journaux.
Règles de périphérique
Des périphériques spécifiques peuvent être autorisés ou bloqués par utilisateur, groupe d'utilisateurs ou tout
autre paramètre supplémentaire pouvant être spécifié dans la configuration des règles. La liste des règles
contient plusieurs éléments descriptifs des règles, comme leur nom, le type de périphérique externe, l'action à
réaliser lorsqu'un nouveau périphérique est détecté et la gravité journalisée.
Vous pouvez ajouter une nouvelle règle ou modifier les paramètres d'une règle existante. Entrez une description
de la règle dans le champ Nom afin de mieux l'identifier. Cliquez sur le bouton bascule situé en regard de l'option
Règle activée pour désactiver ou activer cette règle ; cette option peut être utile si vous ne souhaitez pas retirer
la règle de façon définitive.
Appliquer pendant
Vous pouvez limiter des règles en créant des créneaux horaires. Créez un créneau horaire ; il apparaîtra ensuite
dans le menu déroulant.
Type de périphérique
Choisissez le type de périphérique externe dans le menu déroulant (Stockage disque/Périphérique
portable/Bluetooth/FireWire...). Les types de périphériques sont hérités du système d'exploitation et sont visibles
dans le Gestionnaire de périphériques système si le périphérique est connecté à l'ordinateur. Les appareils de
stockage comprennent les disques externes ou les lecteurs de carte mémoire classiques connectés via USB ou
FireWire. Les lecteurs de carte à puce regroupent tous les lecteurs de carte avec circuit intégré embarqué, telles
que les cartes SIM ou d'authentification. Les scanners ou les appareils photo constituent des exemples de
périphériques d'imagerie. Ces périphériques ne fournissent pas d'informations sur les utilisateurs, uniquement
sur leurs actions. Cela signifie que les périphériques d'imagerie peuvent être bloqués uniquement de façon
globale.
Action
L'accès aux périphériques autres que ceux de stockage peut être autorisé ou bloqué. En revanche, les règles
237
s'appliquant aux périphériques de stockage permettent de sélectionner l'un des paramètres des droits suivants :
• Lire/Écrire - L'accès complet au périphérique est autorisé.
• Bloquer - L'accès au périphérique est bloqué.
• Lecture seule - L'accès en lecture seule au périphérique est autorisé.
• Avertir - À chaque connexion d'un périphérique, l'utilisateur est averti s'il est autorisé/bloqué, et une
entrée est enregistrée dans le journal. Comme les périphériques ne sont pas mémorisés, une notification
s'affiche lors des connexions suivantes d'un même périphérique.
Notez que tous les droits (actions) ne sont pas disponibles pour tous les périphériques. Si un périphérique
comprend un espace de stockage, les quatre actions sont disponibles. Pour les périphériques sans stockage,
seules deux options sont disponibles (par exemple, l'action Lecture seule n'étant pas disponible pour
Bluetooth, un tel périphérique ne peut être qu'autorisé ou bloqué).
Type de critère
Les autres paramètres indiqués ci-dessous peuvent être utilisés pour optimiser les règles et les adapter à des
périphériques. Tous les paramètres respectent la casse et prennent en charge les caractères génériques (*, ?) :
• Fabricant – Permet de filtrer par nom ou ID de fabricant.
• Modèle – Nom du périphérique.
• N° de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas d'un
CD/DVD, Il s'agit du numéro de série du support et pas du lecteur.
Si ces paramètres ne sont pas définis, la règle ignore ces champs lors de la recherche de correspondances.
Les paramètres de filtrage de tous les champs de texte respectent la casse et prennent en charge les
caractères génériques (un point d’interrogation (?) représente un seul caractère, tandis qu’un astérisque
(*) représente une chaîne de zéro caractère ou plus).
Pour déterminer les paramètres d'un périphérique, créez une règle d'autorisation pour ce type de périphérique,
connectez le périphérique à votre ordinateur, puis vérifiez les détails du périphérique dans le journal du contrôle
de périphérique.
Sélectionner le Niveau de verbosité dans la liste déroulante :
• Toujours - Consigne tous les événements.
• Diagnostic - Consigne les informations nécessaires au réglage du programme.
• Informations – Enregistre tous les messages d'information, y compris les messages de mises à jour
réussies et toutes les entrées ci-dessus.
• Avertissement - Enregistre les erreurs critiques et les messages d'avertissement.
• Aucun - Aucun journal n'est enregistré.
Les règles peuvent être limitées à certains utilisateurs ou groupes d'utilisateurs en les ajoutant à la Liste des
utilisateurs. Cliquez sur Modifier pour gérer la liste des utilisateurs.
238
• Ajouter - Ouvre la boîte de dialogue Types d'objet : utilisateurs ou groupes qui permet de sélectionner les
utilisateurs voulus.
• Supprimer - Supprime l'utilisateur sélectionné du filtre.
tous les périphériques peuvent être filtrés par les règles de l'utilisateur (par exemple, les périphériques
d'image ne fournissent pas d'informations sur les utilisateurs, uniquement sur les actions effectuées).
Les fonctions disponibles sont les suivantes :
Modifier
Permet de modifier le nom de la règle sélectionnée ou les paramètres de l'appareil inséré (fabricant, modèle,
numéro de série, etc.).
Copier
Crée une règle à partir des paramètres de la règle sélectionnée.
Supprimer
Permet de supprimer la règle sélectionnée. Vous pouvez également utiliser la case à cocher située en regard
d'une règle donnée pour la désactiver. La désactivation d'une règle peut s'avérer utile si vous ne souhaitez pas la
supprimer définitivement en vue de la réutiliser ultérieurement.
Renseigner
Permet de donner une vue d'ensemble de tous les périphériques actuellement connectés avec les informations
suivantes : le type de périphérique, le fournisseur, le modèle et le numéro de série (le cas échéant). Si vous
sélectionnez un périphérique (dans la liste des périphériques détectés) et cliquez sur OK, une fenêtre d'éditeur de
règles s'affiche avec des informations prédéfinies (vous pouvez ajuster tous les paramètres).
Les règles sont classées par ordre de priorité ; les règles de priorité supérieure sont dans la partie supérieure de la
liste. Vous pouvez sélectionner plusieurs règles et appliquer des actions, par exemple les supprimer ou les
déplacer vers le haut ou le bas de la liste, en cliquant sur Haut/Monter/Bas/Descendre (boutons fléchés).
Groupe de périphériques
La fenêtre Groupes de périphériques se divise en deux parties. La partie droite de la fenêtre contient la liste des
périphériques appartenant à un groupe donné. La partie gauche répertorie la liste des groupes existants.
Sélectionnez le groupe contenant les périphériques que vous souhaitez afficher dans le volet droit.
Vous pouvez créer des groupes de périphériques différents auxquels différentes règles sont appliquées. Vous
pouvez également créer un groupe unique de périphériques définis sur Lire/Écrire ou Lecture seule. Les
périphériques non reconnus sont ainsi bloqués par le contrôle de périphérique lorsqu'ils sont connectés à votre
ordinateur.
Un périphérique connecté à votre ordinateur peut présenter un risque de sécurité.
Les fonctions disponibles sont les suivantes :
239
Ajouter
Créez un groupe de périphériques en saisissant son nom ou ajoutez un périphérique à un groupe existant. Vous
pouvez éventuellement indiquer des informations détaillées (le nom du fabricant, le modèle et le numéro de
série, par exemple) selon l'endroit de la fenêtre sur lequel vous avez cliqué.
Modifier
Permet de modifier le nom du groupe sélectionné ou les paramètres du périphérique inséré (fabricant, modèle,
numéro de série, etc.).
Supprimer
Permet de supprimer le groupe ou le périphérique sélectionné en fonction de l'emplacement sur lequel vous avez
cliqué dans la fenêtre. Vous pouvez également utiliser la case à cocher située en regard d'une règle donnée pour
la désactiver. La désactivation d'une règle peut s'avérer utile si vous ne souhaitez pas la supprimer définitivement
en vue de la réutiliser ultérieurement.
Importer
Permet d'importer la liste des numéros de série des périphériques à partir d'un fichier. Chaque appareil figure sur
une nouvelle ligne.
Le fournisseur, le modèle et la série doivent apparaître pour chaque appareils. Ils doivent être séparés par une
virgule.
Kingston,DT 101 G2,001CCE0DGRFC0371
04081-0009432,USB2.0 HD WebCam,20090101
Renseigner
Permet de donner une vue d'ensemble de tous les périphériques actuellement connectés avec les informations
suivantes : le type de périphérique, le fournisseur, le modèle et le numéro de série (le cas échéant). Si vous
sélectionnez un périphérique (dans la liste des périphériques détectés) et cliquez sur OK, une fenêtre d'éditeur de
règles s'affiche avec des informations prédéfinies (vous pouvez ajuster tous les paramètres).
Ajouter un appareil
Cliquez sur Ajouter dans la fenêtre de droite pour ajouter un appareil à un groupe existant. Les autres paramètres
présentés ci-dessous peuvent être utilisés afin d'affiner les règles pour différents appareils. Tous les paramètres
respectent la casse et prennent en charge les caractères génériques (*, ?) :
• Fabricant - Permet de filtrer par nom ou ID de fabricant.
• Modèle - Nom du périphérique.
• N° de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas d'un
CD/DVD, Il s'agit du numéro de série du support et pas du lecteur.
• Description : description de l'appareil pour une meilleure organisation.
240
Si ces paramètres ne sont pas définis, la règle ignore ces champs lors de la recherche de correspondances.
Les paramètres de filtrage de tous les champs de texte respectent la casse et prennent en charge les
caractères génériques (un point d’interrogation (?) représente un seul caractère, tandis qu’un astérisque
(*) représente une chaîne de zéro caractère ou plus).
Une fois le groupe d'appareils créé, vous devez ajouter une nouvelle règle de contrôle des appareils pour celui-ci
et sélectionner l’action à réaliser.
Une fois la personnalisation terminée, cliquez sur OK. Cliquez sur Annuler pour fermer la fenêtre Groupes de
périphériques sans enregistrer les modifications.
Notez que tous les droits (actions) ne sont pas disponibles pour tous les périphériques. Si un périphérique
comprend un espace de stockage, les quatre actions sont disponibles. Pour les périphériques sans stockage,
seules deux options sont disponibles (par exemple, l'action Lecture seule n'étant pas disponible pour
Bluetooth, un tel périphérique ne peut être qu'autorisé ou bloqué).
Outils de configuration
Vous pouvez personnaliser les paramètres avancés des éléments suivants :
• Créneaux horaires
• Microsoft Windows® Update
• ESET CMD
• ESET RMM
• Licence
• Fournisseur WMI
• Cibles à analyser de la console de gestion ESET
• Fichiers journaux
• Mode de présentation
• Diagnostics
• Cluster
Créneaux horaires
Les créneaux horaires sont utilisés au sein des règles du contrôle de périphériques, ce qui limite celles-ci lors de
leur application. Créez un fuseau horaire et sélectionnez-le lors de l'ajout de nouvelles règles ou de la
modification de règles existantes (paramètre Appliquer pendant). Vous pouvez ainsi définir des créneaux horaires
couramment utilisés (heure de travail, week-end, etc.) et les réutiliser facilement sans avoir à redéfinir les
périodes pour chaque règle. Un créneau horaire doit être applicable à n'importe quel type de règle adéquat
prenant en charge le contrôle temporel.
241
Microsoft Windows Update
Les mises à jour de Windows apportent des corrections importantes aux vulnérabilités potentiellement
dangereuses et améliorent le niveau général de sécurité de votre ordinateur. C'est pourquoi il est essentiel
d'installer les mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Mail Security vous informe
des mises à jour manquantes en fonction du niveau que vous spécifiez. Les niveaux suivants sont disponibles :
• Pas de mise à jour - Aucune mise à jour système n'est proposée au téléchargement.
• Mises à jour optionnelles - Les mises à jour marquées comme étant faiblement prioritaires et au-dessus
sont proposées au téléchargement.
• Mises à jour recommandées - Les mises à jour marquées comme étant courantes et au-dessus sont
proposées au téléchargement.
• Mises à jour importantes - Les mises à jour marquées comme étant importantes et au-dessus sont
proposées au téléchargement.
• Mises à jour critiques - Seules les mises à jour critiques sont proposées pour le téléchargement.
Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après la vérification de
l'état à l'aide du serveur de mise à jour. Les informations de mise à jour système ne sont peut-être pas
immédiatement disponibles après l'enregistrement des modifications.
Analyseur de ligne de commande
Comme alternative à eShell, vous pouvez exécuter l'analyseur à la demande ESET Mail Security via la ligne de
commande en utilisant ecls.exe situé dans le dossier d'installation.
Voici la liste des paramètres et des commutateurs :
Options :
/base-dir=FOLDER
charger les modules depuis le DOSSIER
/quar-dir=FOLDER
DOSSIER de quarantaine
/exclude=MASK
exclure les fichiers correspondant à MASQUE de l'analyse
/subdir
analyser les sous-dossiers (valeur par défaut)
/no-subdir
ne pas analyser les sous-dossiers
/max-subdir-level=LEVEL sous-niveau maximal de sous-dossiers dans les dossiers à analyser
/symlink
suivre les liens symboliques (valeur par défaut)
/no-symlink
ignorer les liens symboliques
/ads
analyser ADS (valeur par défaut)
/no-ads
ne pas analyser ADS
/log-file=FILE
journaliser les résultats dans un FICHIER
/log-rewrite
écraser le fichier de résultats (valeur par défaut - ajouter)
/log-console
journaliser les résultats sur la console (valeur par défaut)
242
/no-log-console
ne pas journaliser les résultats sur la console
/log-all
également journaliser les fichiers nettoyés
/no-log-all
ne pas journaliser les fichiers nettoyés (valeur par défaut)
/aind
afficher l'indicateur d'activité
/auto
analyser et automatiquement nettoyer tous les disques locaux
Options de l'analyseur :
/files
analyser les fichiers (valeur par défaut)
/no-files
ne pas analyser les fichiers
/memory
mémoire scan
/boots
analyser les secteurs d'amorçage
/no-boots
ne pas analyser les secteurs d'amorçage (valeur par défaut)
/arch
analyser les archives (valeur par défaut)
/no-arch
ne pas analyser les archives
/max-obj-size=SIZE
analyser uniquement les fichiers plus petits que TAILLE Mo (valeur par défaut 0
= illimité)
/max-arch-level=LEVEL
sous-niveau maximal d'archives à analyser dans les archives (archives
imbriquées)
/scan-timeout=LIMIT
analyser les archives pendant un maximum de LIMITE secondes
/max-arch-size=SIZE
n'analyser les fichiers contenus dans une archive que s'ils sont plus petits que
TAILLE (valeur par défaut 0 = illimité)
/max-sfx-size=SIZE
n'analyser les fichiers d'une archive auto-extractible que s'ils sont plus petits que
TAILLE Mo (valeur par défaut 0 = illimité)
/mail
analyser les fichiers des courriers électroniques (valeur par défaut)
/no-mail
ne pas analyser les fichiers des courriers électroniques
/mailbox
analyser les boîtes aux lettres (valeur par défaut)
/no-mailbox
ne pas analyser les boîtes aux lettres
/sfx
analyser les archives auto-extractibles (valeur par défaut)
/no-sfx
ne pas analyser les archives auto-extractibles
/rtp
analyser les fichiers exécutables compressés (valeur par défaut)
/no-rtp
ne pas analyser les fichiers exécutables compressés
/unsafe
rechercher les applications potentiellement dangereuses
/no-unsafe
ne pas rechercher les applications potentiellement dangereuses (valeur par
défaut)
/unwanted
rechercher les applications potentiellement indésirables
/no-unwanted
ne pas rechercher les applications potentiellement indésirables (valeur par
défaut)
/suspicious
rechercher les applications suspectes (par défaut)
/no-suspicious
ne pas rechercher les applications suspectes
/pattern
utiliser les signatures (valeur par défaut)
/no-pattern
ne pas utiliser les signatures
/heur
activer l'heuristique (valeur par défaut)
243
/no-heur
désactiver l'heuristique
/adv-heur
activer l'heuristique avancée (valeur par défaut)
/no-adv-heur
désactiver l'heuristique avancée
/ext-exclude=EXTENSIONS exclure de l'analyse les EXTENSIONS de fichier délimitées par deux-points
/clean-mode=MODE
utiliser le MODE de nettoyage pour les objets infectés
Les options disponibles sont les suivantes :
• none (valeur par défaut) – Aucun nettoyage automatique ne sera effectué.
• standard – ecls.exe tente de nettoyer ou de supprimer automatiquement les
fichiers infectés.
• strict – ecls.exe tente de nettoyer ou de supprimer automatiquement les
fichiers infectés sans l'intervention de l'utilisateur (vous ne serez pas averti
avant la suppression des fichiers).
• rigorous – ecls.exe supprime les fichiers sans essayer de les nettoyer, quel que
soit le type de fichier.
• delete – ecls.exe supprime les fichiers sans tenter de les nettoyer, mais
s’abstient de supprimer les fichiers sensibles tels que les fichiers système de
Windows.
/quarantine
copier les fichiers infectés (si nettoyés) vers Quarantaine (complète l’action
effectuée lors du nettoyage)
/no-quarantine
ne pas copier les fichiers infectés vers Quarantaine
Options générales :
/help
afficher l'aide et quitter
/version
afficher les informations de version et quitter
/preserve-time conserver la date et l'heure du dernier accès
Codes de sortie :
0
aucune menace détectée
1
menace détectée et nettoyée
10
certains fichiers n'ont pas pu être analysés (peuvent être des menaces)
50
menace détectée
100 erreur (les codes de sortie supérieurs à 100 signifient que le fichier n'a pas été analysé et ne peut pas être
considéré comme étant non infecté)
ESET CMD
Il s'agit d'une fonctionnalité qui permet d'utiliser des commandes ecmd avancées. Elle vous offre la possibilité
d'exporter et d'importer des paramètres à l'aide d'une ligne de commande (ecmd.exe). Auparavant, il n'était
possible d'exporter et d'importer des paramètres que dans l'interface utilisateur graphique. La configuration de
ESET Mail Security peut être exportée dans un fichier .xml.
Lorsqu'ESET CMD est activé, deux méthodes d'autorisation sont disponibles :
• Aucun : aucune autorisation. Il n'est pas recommandé d'utiliser cette méthode car elle permet
l'importation de n'importe quelle configuration non signée, ce qui constitue un risque potentiel.
244
• Mot de passe de configuration avancée : un mot de passe est nécessaire pour importer une configuration
à partir d'un fichier .xml devant être signé (reportez-vous à la section relative à la signature d'un fichier de
configuration .xml plus bas). Le mot de passe spécifié dans la configuration de l'accès doit être fourni avant
l'importation d'une nouvelle configuration. Si la configuration de l'accès n'est pas activée, que le mot de
passe ne correspond pas ou que le fichier de configuration .xml n'est pas signé, la configuration n'est pas
importée.
Une fois qu'ESET CMD est activé, vous pouvez utiliser la ligne de commande pour exporter ou importer des
configurations de ESET Mail Security. Vous pouvez le faire manuellement ou créer un script pour l'automatisation.
Pour utiliser les commandes ecmd avancées, vous devez les exécuter avec des privilèges d'administrateur
ou ouvrir une invite de commandes Windows (cmd) à l'aide de la commande Exécuter en tant
qu'administrateur. Si vous ne procédez pas ainsi, le message Erreur lors de l'exécution de la commande
s'affiche. Le dossier de destination doit aussi exister lors de l'exportation d'une configuration. La
commande d'exportation fonctionne toujours lorsque le paramètre ESET CMD est désactivé.
Commande d'exportation des paramètres :
ecmd /getcfg c:\config\settings.xml
Commande d'importation des paramètres :
ecmd /setcfg c:\config\settings.xml
Les commandes ecmd ne peuvent être exécutées que localement. L'exécution de la tâche client Exécuter
une commande à l'aide d'ESET PROTECT ne fonctionnera pas.
Signature d'un fichier de configuration .xml :
1. Téléchargez l'exécutable XmlSignTool.
2. Ouvrez une invite de commandes Windows (cmd) en utilisant Exécuter en tant qu'administrateur.
3. Accédez à l'emplacement de xmlsigntool.exe
4. Exécutez une commande pour signer le fichier de configuration .xml : xmlsigntool /version 1|2
<xml_file_path>
La valeur du paramètre /version dépend de la version de ESET Mail Security. Utilisez /version 2 pour ESET
Mail Security 7 et les versions ultérieures.
5. Lorsque l'utilitaire XmlSignTool vous y invite, saisissez le mot de passe de la configuration avancée et
saisissez-le de nouveau. Le fichier de configuration .xml est à présent signé. Il peut être utilisé pour
importer une autre instance de ESET Mail Security avec ESET CMD à l'aide de la méthode d'autorisation du
mot de passe.
245
Commande de signature du fichier de configuration exporté : xmlsigntool /version 2 c:\config\settings.xml
Si le mot de passe de la configuration de l'accès change et si vous souhaitez importer une configuration qui
a été signée avec un ancien mot de passe, vous pouvez signer de nouveau le fichier de configuration .xml à
l'aide du mot de passe actuel. Vous pouvez ainsi utiliser un ancien fichier de configuration sans l'exporter
sur un autre ordinateur exécutant ESET Mail Security avant l'importation.
ESET RMM
La surveillance et l'administration à distance (RMM, Remote Monitoring and Management) est le processus qui
consiste à surveiller et contrôler les systèmes logiciels (comme ceux des postes de travail, serveurs et
périphériques mobiles) à l'aide d'un agent installé localement qui est accessible par un fournisseur de services
d'administration.
Activer RMM
Active la surveillance et l'administration à distance. Vous devez disposer des droits d'administrateur pour utiliser
l'utilitaire RMM.
Mode de fonctionnement
Sélectionnez le mode de fonctionnement de RMM dans le menu déroulant :
• Séparation sûre uniquement : si vous souhaitez activer l’interface RMM pour les opérations en lecture
seule et sûres
• Toutes les opérations : si vous souhaitez activer l’interface RMM pour toutes les opérations
Méthode d'autorisation
Définissez la méthode d'autorisation RMM à partir du menu déroulant :
• Aucune : aucune vérification de chemin d'application ne sera effectuée. Vous pouvez exécuter ermm.exe
246
depuis n'importe quelle application.
• Chemin de l'application : indiquez l'application qui est autorisée à exécuter ermm.exe
L'installation d'ESET Mail Security par défaut contient le fichier ermm.exe situé dans ESET Mail Security (chemin
d'accès par défaut : c:\Program Files\ESET\ESET Mail Security ). ermm.exe échange des données avec RMM
Plugin, qui communique avec RMM Agent, associé à un serveur RMM Server.
• ermm.exe : utilitaire de ligne de commande développé par ESET qui permet de gérer les produits Endpoint
et les communications avec un RMM Plugin.
• RMM Plugin : application tierce exécutée localement sur le système du terminal Windows. Le plugin a été
conçu pour communiquer avec un RMM Agent spécifique (Kaseya, par exemple) et ermm.exe.
• RMM Agent : application tierce (de Kaseya, par exemple) exécutée localement sur le système du terminal
Windows. L'Agent communique avec RMM Plugin et RMM Server.
• RMM Server : s'exécute en tant que service sur un serveur tiers. Les systèmes RMM pris en charge le sont
par Kaseya, Labtech, Autotask, Max Focus et Solarwinds N-able.
Pour plus d'informations sur ESET RMM dans ESET Mail Security, consultez notre article de la base de
connaissances.
Modules d'extension ESET Direct Endpoint Management pour les solutions RMM tierces
RMM Server s'exécute en tant que service sur un serveur tiers. Pour plus d’informations, reportez-vous aux
guides de l'utilisateur en ligne d’ESET Direct Endpoint Management suivants :
• Module d'extension ESET Direct Endpoint Management pour ConnectWise Automate
• Module d'extension ESET Direct Endpoint Management pour DattoRMM
• Module d'extension ESET Direct Endpoint Management pour Solarwinds N-Central
• Module d'extension ESET Direct Endpoint Management pour NinjaRMM
Licence
ESET Mail Security se connecte au serveur de licences ESET plusieurs fois par heure pour effectuer des
vérifications. Le paramètre Vérification de l'intervalle est défini par défaut sur Automatique. Si vous souhaitez
réduire le trafic réseau lié aux vérifications de licence, définissez l'intervalle de vérification sur Limité. La
vérification des licences ne sera alors effectuée qu'une fois par jour (également après le redémarrage du serveur).
Lorsque l’intervalle de vérification est défini sur Limité, toutes les modifications de licence apportées à ESET Mail
Security via ESET Business Account et ESET MSP Administrator peuvent prendre jusqu’à une journée pour être
prises en compte.
247
Fournisseur WMI
Windows Management Instrumentation (WMI) est la mise en œuvre Microsoft de WBEM (Web-Based Enterprise
Management), l'initiative du secteur visant à développer une norme de technologie pour l'accès aux informations
de gestion dans les environnements d'entreprise.
Pour plus d'informations sur WMI, reportez-vous à la page
http://msdn.microsoft.com/en-us/library/windows/desktop/aa384642(v=vs.85).aspx
Fournisseur WMI ESET
Le fournisseur WMI d'ESET a pour objectif de permettre la surveillance à distance des produits ESET dans un
environnement d'entreprise sans exiger de logiciel ou d'outils ESET. En soumettant le produit de base, l'état et les
statistiques par l'intermédiaire de WMI, nous améliorons considérablement la capacité de surveillance des
produits ESET par les administrateurs d'entreprise.
Les administrateurs peuvent profiter des différentes méthodes d'accès proposées par WMI (ligne de commande,
scripts et outils de surveillance d'entreprise tiers) pour surveiller l'état de leurs produits ESET.
La mise en œuvre actuelle fournit un accès en lecture seule aux informations de base sur les produits et les
fonctionnalités installées, l'état et les statistiques de protection des différents scanners, ainsi que les fichiers
journaux du produit.
Le fournisseur WMI permet d’utiliser les outils et l’infrastructure WMI Windows standard pour lire l’état du
produit et les journaux de celui-ci.
Données fournies
Toutes les classes WMI liées au produit ESET se trouvent dans l'espace de noms « root\ESET ». Les classes
suivantes, décrites plus en détail ci-dessous, sont actuellement mises en œuvre :
Général
• ESET_Product
• ESET_Features
• ESET_Statistics
Journaux
• ESET_ThreatLog
• ESET_EventLog
• ESET_ODFileScanLogs
• ESET_ODFileScanLogRecords
• ESET_ODServerScanLogs
248
• ESET_ODServerScanLogRecords
• ESET_HIPSLog
• ESET_URLLog
• ESET_DevCtrlLog
• ESET_GreylistLog
• ESET_MailServeg
• ESET_HyperVScanLogs
• ESET_HyperVScanLogRecords
Classe ESET_Product
Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Pour connaître les propriétés de cette classe,
reportez-vous aux informations générales concernant le produit ESET installé :
• ID - Identifiant du type de produit, par exemple « emsl »
• Name - Nom du produit, « ESET Mail Security » par exemple
• FullName - Nom complet du produit, « ESET Mail Security pour IBM Domino » par exemple
• Version - Version du produit, « 6.5.14003.0 » par exemple
• VirusDBVersion - Version de la base des virus, « 14533 (20161201) » par exemple
• VirusDBLastUpdate - Horodatage de la dernière mise à jour de la base des virus. La chaîne contient
l'horodatage au format WMI, par exemple « 20161201095245.000000+060 »
• LicenseExpiration - Expiration de la licence. La chaîne contient l'horodatage au format WMI
• KernelRunning - Valeur booléenne indiquant si le service ekrn est en cours d'exécution sur la machine, par
exemple « TRUE »
• StatusCode - Nombre indiquant l'état de protection du produit : 0 - Vert (OK), 1 - Jaune (avertissement), 2 Rouge (erreur)
• StatusText - Message indiquant la raison d'un code d'état différent de zéro ; dans les autres cas, la valeur
est Null
Classe ESET_Features
La classe ESET_Features comporte plusieurs instances en fonction du nombre de fonctionnalités du produit.
Chaque instance contient :
• Name - Nom de la fonctionnalité (les noms sont répertoriés ci-dessous)
• Status - État de la fonctionnalité : 0 - Inactif, 1 - Désactivé, 2 - Activé
249
La liste des chaînes représente les fonctionnalités du produit actuellement reconnues :
• CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichiers
• CLIENT_WEB_AV - Protection antivirus Web du client
• CLIENT_DOC_AV - Protection antivirus des documents du client
• CLIENT_NET_FW - Pare-feu personnel du client
• CLIENT_EMAIL_AV - Protection antivirus de la messagerie du client
• CLIENT_EMAIL_AS - Protection antispam de la messagerie du client
• SERVER_FILE_AV - Protection antivirus en temps réel des fichiers stockés sur le serveur de fichiers protégé,
par exemple les fichiers d'une base de données de contenus SharePoint dans le cas d'ESET Mail Security
• SERVER_EMAIL_AV - Protection antivirus de la messagerie du serveur protégé, par exemple courriers dans
Microsoft Exchange ou dans IBM Domino
• SERVER_EMAIL_AS - Protection antispam de la messagerie du serveur protégé, par exemple couriers dans
Microsoft Exchange ou dans IBM Domino
• SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la passerelle
• SERVER_GATEWAY_AS - Protection antispam des protocoles réseau protégés sur la passerelle
Classe ESET_Statistics
La classe ESET_Statistics comporte plusieurs instances en fonction du nombre de scanners du produit. Chaque
instance contient :
• Analyseur - Code chaîne de l'analyseur, par exemple « CLIENT_FILE »
• Total - Nombre total de fichiers analysés
• Infected - Nombre de fichiers infectés détectés
• Cleaned - Nombre de fichiers nettoyés
• Timestamp - Horodatage de la dernière modification des statistiques. Format WMI, par exemple
« 20130118115511.000000+060 »
• ResetTime - Horodatage de la dernière réinitialisation des compteurs statistiques. Format WMI, par
exemple « 20130118115511.000000+060 »
La liste des chaînes représente les scanners actuellement reconnus :
• CLIENT_FILE
• CLIENT_EMAIL
• CLIENT_WEB
250
• SERVER_FILE
• SERVER_EMAIL
• SERVER_WEB
Classe ESET_ThreatLog
La classe ESET_ThreatLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
Menaces détectées. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Scanner - Nom du scanner qui a créé cet événement de journal.
• ObjectType - Type de l'objet qui a produit cet événement de journal.
• ObjectName - Nom de l'objet qui a produit cet événement de journal.
• Threat - Nom de la menace qui a été détectée dans l'objet décrit par les propriétés ObjectName et
ObjectType
• Action - Action exécutée après l'identification de la menace
• User - Compte utilisateur qui a provoqué la génération de cet événement de journal
• Information - Description complémentaire de l'événement
• Hash - Hachage de l'objet qui a produit cet événement de journal.
ESET_EventLog
La classe ESET_EventLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
Événements. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Module - Nom du module qui a créé cet événement de journal.
• Event - Description de l'événement.
• User - Compte utilisateur qui a provoqué la génération de cet événement de journal
251
ESET_ODFileScanLogs
La classe ESET_ODFileScanLogs comporte plusieurs instances, chacune d'entre elles représentant une entrée
d'analyse de fichier à la demande. Elle équivaut à la liste de journaux Analyse de l'ordinateur à la demande de
l'interface utilisateur graphique. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• Targets - Dossiers/Objets cibles de l'analyse
• TotalScanned - Nombre total d'objets analysés
• Infected - Nombre d'objets infectés détectés
• Cleaned - Nombre d'objets nettoyés
• Status - État de l'analyse
ESET_ODFileScanLogRecords
La classe ESET_ODFileScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une
entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_ODFileScanLogs. Les
instances de cette classe fournissent les entrées de journal de toutes les analyses à la demande/tous les journaux.
Lorsqu'une seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété
LogID. Chaque instance de classe contient :
• LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances
de la classe ESET_ODFileScanLogs)
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Log - Message proprement dit du journal
ESET_ODServerScanLogs
La classe ESET_ODServerScanLogs comporte plusieurs instances, chacune d'entre elles représentant une
exécution de l'analyse de serveur à la demande. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• Targets - Dossiers/Objets cibles de l'analyse
• TotalScanned - Nombre total d'objets analysés
252
• Infected - Nombre d'objets infectés détectés
• Cleaned - Nombre d'objets nettoyés
• RuleHits - Nombre total d'applications des règles
• Status - État de l'analyse
ESET_ODServerScanLogRecords
La classe ESET_ODServerScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une
entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_ODServerScanLogs. Les
instances de cette classe fournissent les entrées de journal de toutes les analyses à la demande/tous les journaux.
Lorsqu'une seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété
LogID. Chaque instance de classe contient :
• LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances
de la classe ESET_ ODServerScanLogs)
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Log - Message proprement dit du journal
ESET_SmtpProtectionLog
La classe ESET_SmtpProtectionLog comporte plusieurs instances, chacune d'entre elles représentant une entrée
du journal Protection SMTP. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• HELODomain - Nom du domaine HELO
• IP - Adresse IP de la source
• Sender - Expéditeur du courrier électronique
• Recipient - Destinataire du courrier électronique
• ProtectionType - Type de protection utilisé
• Action - Action effectuée
253
• Reason - Motif de l'action
• TimeToAccept - Nombre de minutes après lesquelles le courrier électronique est accepté
ESET_HIPSLog
La classe ESET_HIPSLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
HIPS. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Application - Application source
• Target - Type d'opération
• Action - Action entreprise par HIPS (autoriser, refuser, etc.)
• Rule - Nom de la règle responsable de l'action
• AdditionalInfo
ESET_URLLog
La classe ESET_URLLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
Sites Web filtrés. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• URL - URL
• Status - Ce qui est arrivé à l'URL, par exemple « Bloqué par le filtrage web » "Bloqué par le filtrage web"
• Application - Application ayant essayé d'accéder à l'URL
• User - Compte utilisateur sous lequel l'application était exécutée
ESET_DevCtrlLog
La classe ESET_DevCtrlLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du
journal Contrôle de périphérique. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
254
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Device - Nom de l'appareil
• User - Nom du compte utilisateur
• UserSID - SID du compte utilisateur
• Group - Nom du groupe d'utilisateurs
• GroupSID - SID du groupe d'utilisateurs
• Status - Ce qui est arrivé à l'appareil, par exemple « Écriture bloquée » "Écriture bloquée"
• DeviceDetails - Informations supplémentaires sur l'appareil
• EventDetails - Informations supplémentaires sur l'événement
ESET_MailServerLog
La classe ESET_MailServerLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du
journal Serveur de messagerie. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• IPAddr - Adresse IP de la source
• HELODomain - Nom du domaine HELO
• Sender - Expéditeur du courrier électronique
• Recipient - Destinataire du courrier électronique
• Subject - Objet de l'e-mail
• ProtectionType - Type de protection effectué par l'action décrite par l'entrée de journal actuel, à savoir
contre les logiciels malveillant, antispam ou règles.
• Action - Action effectuée
• Reason - Raison pour laquelle l'action a été effectuée sur l'objet par le type de protection donné.
ESET_HyperVScanLogs
255
La classe ESET_HyperVScanLogs comporte plusieurs instances, chacune d'entre elles représentant une exécution
de l'analyse de fichier Hyper-V. Elle équivaut à la liste de journaux analyse Hyper-V de l'interface utilisateur
graphique. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• Targets - Machines/disques/volumes cibles de l'analyse
• TotalScanned - Nombre total d'objets analysés
• Infected - Nombre d'objets infectés détectés
• Cleaned - Nombre d'objets nettoyés
• Status - État de l'analyse
ESET_HyperVScanLogRecords
La classe ESET_HyperVScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une
entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_HyperVScanLogs. Les
instances de cette classe fournissent les entrées de journal de toutes les analyses Hyper-V/tous les journaux.
Lorsqu'une seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété
LogID. Chaque instance de classe contient :
• LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances
de la classe ESET_HyperVScanLogs)
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Log - Message proprement dit du journal
ESET_NetworkProtectionLog
La classe ESET_NetworkProtectionLog comporte plusieurs instances, chacune d'entre elles représentant une
entrée du journal Protection du réseau. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Event - Événement déclenchant une action de protection du réseau
256
• Action - Action effectuée par la protection du réseau
• Source - Adresse source du périphérique réseau
• Target - Adresse cible du périphérique réseau
• Protocol - Protocole de communication réseau
• RuleOrWormName - Nom du ver ou de la règle associé à l'événement
• Application - Application ayant initié la communication réseau
• User - Compte utilisateur qui a provoqué la génération de cet événement de journal
ESET_SentFilesLog
La classe ESET_SentFilesLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du
journal Fichiers envoyés. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Sha1 - Hachage Sha-1 du fichier envoyé
• File - Fichier envoyé
• Size - Taille du fichier envoyé
• Category - Catégorie du fichier envoyé
• Reason - Motif de l'envoi du fichier
• SentTo - Service ESET auquel le fichier a été envoyé
• User - Compte utilisateur qui a provoqué la génération de cet événement de journal
ESET_OneDriveScanLogs
La classe ESET_OneDriveScanLogs comporte plusieurs instances, chacune d'entre elles représentant une
exécution du scan de OneDrive. Elle équivaut à la liste de journaux Scan de OneDrive de l'interface utilisateur
graphique. Chaque instance contient :
• ID - Identifiant unique de ce journal OneDrive
• Timestamp - Horodatage de création du journal (au format WMI).
• Targets - Dossiers/Objets cibles de l'analyse
• TotalScanned - Nombre total d'objets analysés
257
• Infected - Nombre d'objets infectés détectés
• Cleaned - Nombre d'objets nettoyés
• Status - État de l'analyse
ESET_OneDriveScanLogRecords
La classe ESET_OneDriveScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une
entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_OneDriveScanLogs. Les
instances de cette classe fournissent les entrées de journal de tous les scans/journaux OneDrive. Lorsqu'une seule
instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque
instance contient :
• LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances
de la classe ESET_OneDriveScanLogs)
• ID - Identifiant unique de ce journal OneDrive
• Timestamp - Horodatage de création du journal (au format WMI).
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les
valeurs correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning,
Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Log - Message proprement dit du journal
Accès aux données fournies
Voici quelques exemples indiquant comment accéder aux données WMI ESET depuis la ligne de commande
Windows et PowerShell. Ces méthodes devraient fonctionner sur n'importe quel système d'exploitation Windows
actuel. Il existe néanmoins de nombreuses autres manières d'accéder aux données depuis d'autres outils et
langages de script.
Ligne de commande sans script
wmic peut être utilisé pour accéder à différentes classes VMI prédéfinies ou personnalisées.
Pour afficher les informations complètes sur le produit sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product
Pour afficher uniquement la version du produit sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product Get Version
Pour afficher les informations complètes sur le produit sur une machine distante dont l'adresse IP est IP
10.1.118.180 :
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
258
Pour obtenir et afficher les informations complètes sur le produit sur la machine locale :
Get-WmiObject ESET_Product -namespace 'root\ESET'
Pour obtenir et afficher les informations complètes sur le produit sur une machine distante dont l'adresse IP est IP
10.1.118.180 :
$cred = GetCredential # promts the user for credentials and stores it in the variable
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' cred $cred
Cibles à analyser de la console de gestion ESET
Cette fonctionnalité permet à ESET PROTECT d'utiliser des cibles à analyser (analyse de base de données de boîtes
aux lettres à la demande et analyse Hyper-V) lors de l'exécution de la tâche client Analyse du serveur sur un
serveur avec ESET Mail Security. La configuration des cibles d'analyse ESET PROTECT n'est disponible que si ESET
Management Agent est installé. Sinon, elle sera grisée.
Lorsque vous activez l'option Générer la liste des cibles, elle crée une liste de cibles disponibles à analyser à la
demande. Définissez la période de mise à jour si nécessaire.
Lorsque vous utilisez l'option Générer la liste des cibles pour la première fois, ESET PROTECT a besoin
d'environ la moitié de la période de mise à jour spécifiée pour obtenir la liste. Par exemple, si la période de
mise à jour est définie sur 60 minutes, ESET PROTECT aura besoin d'environ 30 minutes pour recevoir la
liste des cibles à analyser. Si ESET PROTECT doit obtenir la liste plus rapidement, définissez la période de
mise à jour sur une valeur inférieure. Vous pourrez toujours l'augmenter ultérieurement.
Lorsque ESET PROTECT exécute une tâche client Analyse du serveur, il va collecter la liste et vous demander de
sélectionner des cibles à analyser pour l'analyse Hyper-V sur ce serveur spécifique.
Mode de remplacement
Si une stratégie ESET PROTECT est appliquée à ESET Mail Security, une icône représentant un verrou
s'affiche à la place du commutateur Activer/désactiver sur la page de configuration et d'une icône représentant
un verrou en regard du commutateur dans la fenêtre Configuration avancée.
259
Normalement, les paramètres configurés via la stratégie ESET PROTECT ne peuvent pas être modifiés. Le mode de
remplacement permet de déverrouiller temporairement ces paramètres. Vous devez toutefois activer le mode de
remplacement à l'aide d'une stratégie ESET PROTECT.
Connectez-vous à la console Web ESET PROTECT Web Console , accédez à Politiques, sélectionnez la politique
appliquée à ESET Mail Security et modifiez-la ou créez-en une autre. Dans Paramètres, cliquez sur Mode de
remplacement, activez ce mode et configurez les paramètres restants, notamment le type d'authentification
(Utilisateur Active Directory ou Mot de passe).
Une fois que la stratégie est modifiée ou qu'une nouvelle stratégie est appliquée à ESET Mail Security, le bouton
Remplacer la stratégie apparaît dans la fenêtre Configuration avancée.
260
Cliquez sur le bouton Remplacer la stratégie, définissez la durée et cliquez sur Appliquer.
Si vous sélectionnez Mot de passe comme type d'authentification, saisissez le mot de passe de remplacement de
261
la stratégie.
Une fois que mode de remplacement est arrivé à expiration, toute modification de configuration effectuée est
remplacée par les paramètres de la stratégie ESET PROTECT d'origine. Une notification s'affiche avant l'expiration
du mode de remplacement.
Vous pouvez arrêter le mode de remplacement à tout moment avant son expiration dans la page Supervision ou
dans la fenêtre Configuration avancée.
Fichiers journaux
Cette section permet de modifier la configuration de la journalisation ESET Mail Security.
Entrées du journal
Les entrées sont écrites dans le journal des événements (C:\ProgramData\ESET\ESET Security\Logs) et peuvent
être affichées dans la visionneuse des fichiers journaux. Utilisez les commutateurs pour activer ou désactiver une
fonctionnalité spécifique :
Consigner les erreurs de transport des messages
Si cette option est activée et si un problème se produit sur la couche de transport des messages, les messages
d'erreur sont écrits dans le journal des événements.
Consigner les exceptions de transport des messages
Si une exception est levée sur la couche de transport des messages, les détails de celle-ci sont écrits dans le
journal des événements.
Filtre de journalisation
262
Produit une quantité importante de données, car toutes les options de journalisation sont activées par défaut. Il
est recommandé de désactiver de manière sélective les composants qui ne sont pas utiles ou liés au problème.
Pour démarrer la journalisation, vous devez activer la journalisation des données de diagnostic générale
au niveau du produit dans le menu principal Configuration > Outils. Une fois la journalisation activée, ESET
Mail Security collecte des journaux détaillés selon les fonctionnalités de cette section qui sont activées.
Utilisez les commutateurs pour activer ou désactiver une fonctionnalité spécifique. Ces options peuvent aussi être
combinées selon la disponibilité de chaque composant dans ESET Mail Security.
• Journalisation des données de diagnostic du transport des messages
Si l'analyse de base de données s'exécute normalement pendant la résolution des problèmes, il est
recommandé de désactiver l'option Journalisation des données de diagnostic du transport des messages.
Sinon, le journal obtenu peut comprendre un trop grand nombre d'entrées, ce qui peut le rendre difficile à
analyser.
• Journalisation des données de diagnostic des analyses de base de données à la demande : écrit des
informations détaillées dans les journaux, notamment lorsqu'un dépannage est nécessaire.
• Journalisation des données de diagnostic du cluster - La journalisation des clusters est incluse dans la
journalisation des données générales de diagnostic.
• Journalisation des diagnostics OneDrive - La journalisation OneDrive est incluse dans la journalisation des
diagnostics généraux.
• Journalisation des données de diagnostic du moteur antispam : lorsque vous devez résoudre des problèmes,
vous trouverez des informations détaillées sur le moteur antispam dans les journaux. Écrit des informations
détaillées sur le moteur antispam dans le fichier journal à des fins de diagnostic. Le moteur antispam n'utilise pas
le journal des événements (fichier warnlog.dat) et ne peut donc pas être affiché dans la visionneuse des fichiers
journaux. Il écrit des entrées directement dans un fichier dédié (C:\ProgramData\ESET\ESET Mail
Security\Logs\antispam.0.log, par exemple) afin que les données de diagnostic du moteur antispam soient
conservées à un seul emplacement. Ainsi, les performances de ESET Mail Security ne sont diminuées en cas de
traficFichiers
important
de messages.
journaux
263
Permettent de définir le mode de gestion des journaux. Cette option est importante, principalement pour éviter
toute utilisation excessive du disque. Les paramètres par défaut permettent la suppression automatique des
anciens journaux pour économiser de l'espace disque.
Supprimer automatiquement les entrées
Les entrées des journaux plus anciennes que le nombre de jours spécifié (ci-dessous) sont supprimées.
Supprimer les entrées vieilles de plus de (jours)
Indiquez le nombre de jours.
Supprimer automatiquement les anciennes entrées si la taille du journal est dépassée
Lorsque la taille du journal dépasse Taille maximale du journal [Mo], les anciennes entrées sont supprimées
jusqu'à ce que la taille Taille réduite du journal [Mo] soit atteinte.
Sauvegarder automatiquement les entrées effacées
Les entrées de journal et les fichiers effacés automatiquement sont sauvegardés dans le répertoire spécifié et,
éventuellement, compressés au format ZIP.
Sauvegarder les journaux de diagnostic
Les journaux de diagnostic supprimés sont sauvegardés automatiquement. Si cette option n'est pas activée, les
entrées de journal de diagnostic ne sont pas sauvegardées.
Dossier de sauvegarde
Dossier dans lequel les sauvegardes du journal sont stockées. Vous pouvez activer les sauvegardes de journal
compressées à l'aide de l'outil ZIP.
Optimiser automatiquement les fichiers journaux
Lorsque cette option est activée, les fichiers journaux sont automatiquement défragmentés si le pourcentage de
fragmentation est supérieur à la valeur spécifiée dans le champs Si le nombre d'entrées inutilisées dépasse (%).
Cliquez sur Optimiser pour démarrer la défragmentation des fichiers journaux. Toutes les entrées vides des
journaux sont supprimées pour améliorer les performances et accélérer le traitement des journaux. Cette
amélioration se constate notamment si les journaux comportent un grand nombre d'entrées.
Activer le protocole texte
Permet le stockage des journaux dans un autre format de fichier séparé des fichiers journaux :
• Répertoire cible - Répertoire dans lequel les fichiers journaux sont stockés (s'applique uniquement aux formats
Texte/CSV). Chaque section de journal dispose de son propre fichier avec un nom de fichier prédéfini (par
exemple virlog.txt pour la section Menaces détectées des fichiers journaux si vous utilisez le format de fichier
texte brut pour stocker les journaux).
• Type - Si vous sélectionnez le format de fichier Texte, les journaux sont stockés dans un fichier texte dans
lequel les données sont séparées par des tabulations. Le même processus s'applique au format de fichier CSV
(fichier séparé par des virgules). Si vous choisissez Événement, les journaux sont stockés dans le journal des
événements Windows (qui peut être affiché dans Observateur d'événements accessible à partir du Panneau de
configuration) au lieu d'un fichier.
• Supprimer tous les fichiers journaux : efface tous les fichiers journaux sélectionnés dans le menu déroulant
Type.
Pour résoudre les problèmes plus rapidement, l'assistance technique ESET peut vous demander de fournir
les journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires. Pour
plus d'informations sur ESET Log Collector, consultez l'article de la base de connaissances.
Journal d’audit
Permet de suivre les modifications dans la configuration ou de protection d'. Étant donné que la modification de
la configuration du produit peut avoir une incidence considérable sur le fonctionnement de celui-ci, vous pouvez
suivre les modifications à des fins d'audit. Vous pourrez consulter les entrées des modifications dans la section
Fichiers journaux > Journal d'audit.
Exportation des journaux
264
Exporter vers les journaux des applications et des services Windows
Permet de dupliquer les entrées du Journal de la protection du serveur de messagerie dans les journaux des
applications et des services. Pour consulter le journal de la protection du serveur de messagerie, ouvrez
l'Observateur d'événements Windows, puis accédez à Journaux des applications et des services > ESET >
Securité > ExchangeServer > MailProtection. Les journaux des applications et des services sont pris en charge
sous Microsoft Windows Server 2012 ou version ultérieure.
Exporter vers le serveur syslog
Il est possible de dupliquer les journaux de la protection du serveur de messagerie sur le serveur syslog au format
CEF (Common Event Format). Le format CEF est un format texte normalisé extensible qui peut être utilisé pour
faciliter la collecte et l'agrégation de données en vue d'une analyse ultérieure par un système de gestion
d'entreprise. Dans ce cas, vous pouvez l'utiliser avec les solutions SIEM (Security Information and Event
Management) et de gestion des journaux telles que Micro Focus ArcSight. Pour plus d'informations sur les champs
d'événement exportés et leur description, voir Mappage des événements Syslog.
Adresse du serveur
Saisissez l'adresse IP ou le nom d'hôte du serveur. Dans le cas d'ArcSight, spécifiez le serveur sur lequel
SmartConnector est installé.
Protocole
Sélectionnez le protocole à utiliser : TCP ou UDP.
Port
La valeur par défaut est 514 pour les deux protocoles.
Exporter vers un fichier
Permet l'exportation locale des journaux dans un fichier au format CEF. La capacité de stockage de la
journalisation étant limitée, une journalisation circulaire est utilisée. Les entrées sont écrites séquentiellement
dans les fichiers (de mailserver.0.log à mailserver.9.log). Les dernières entrées sont stockées dans
mailserver.0.log. Une fois sa taille limite atteint, le fichier le plus ancien mailserver.9.log est supprimé et les autres
fichiers journaux sont renommés en séquence (mailserver.0.log est renommé en mailserver.1.log, etc.).
Chemin d'accès au fichier
Le chemin d'accès par défaut est C:\ProgramData\ESET\ESET Security\Logs. Vous pouvez modifier l'emplacement
si nécessaire.
Mappage des événements Syslog
Les tableaux ci-après montrent le mappage des événements ESET Mail Security sur les champs de données
ArcSight. Vous pouvez utiliser ces tableaux comme référence de ce qui est envoyé à ArcSight via SmartConnector.
Header
Device Vendor
"ESET"
Device Product
"EMSX"
Device Version
e.g. "7.1.10005.0"
Device Event Class ID
e.g. "101"
Device Event Category unique identifier:
100-199 malware
200-299 phish
300-399 spam
400-499 policy
e.g. "MailScanResult: malware"
A brief description of what happened in the event:
MailScanResult: malware
MailScanResult: phishing link
MailScanResult: spam
MailScanResult: policy
Event Name
CEF Key Name
"EMSX" or "ESET Mail Security for MS Exchange Server"
CEF Key Full Name (Size)
Field Description
Detailed Field Description
rt
deviceReceiptTime
Time event was generated
The time at which the event was generated, in milliseconds since Jan 1st 1970
src
sourceAddress
Sender's IP
IP address of the sending mail server
shost
sourceHostName (1023)
Sender's HELO domain
HELO domain of the sending mail server
flexString1
flexString1
Message-ID
Message-ID header from the email
dhost
destinationHostName (1023)
Receiving server
Hostname of the machine that received the communication
msg
message (1023)
Message subject
Subject of the message, from the RFC5233 header "Subject:"
suser
sourceUserName (1023)
SMTP sender
SMTP sender of the email (MAIL FROM)
duser
destinationUserName (1023)
SMTP recipient(s)
SMTP recipient(s) of the email (RCPT TO)
act
deviceAction (63)
Action taken
Action taken (cleaned, quarantined, etc.)
265
CEF Key Name
CEF Key Full Name (Size)
Field Description
Detailed Field Description
cat
deviceEventCategory (1023)
Detection category
Most significant detection (malware >> phish >> spam >> SPF/DKIM >> policy)
sourceServiceName
sourceServiceName
Type of protection
SMTP Transport agent, On-demand database scan
deviceExternalId
deviceExternalId
Engine version
Anti-Malware engine version, Antispam engine version, e.g. "18620,7730"
cs1
deviceCustomString1
Anti-Malware result
Result of Anti-Malware scan, including threat name
cs1Label
deviceCustomString1Label
"Anti-Malware result"
cs2
deviceCustomString2
Antispam result
cs2Label
deviceCustomString2Label
"Antispam result"
cs3
deviceCustomString3
Anti-Phishing result
cs3Label
deviceCustomString3Label
"Anti-Phishing result"
cs4
deviceCustomString4
SPF/DKIM/DMARC result
cs4Label
deviceCustomString4Label
"SPF/DKIM/DMARC result"
cs5
deviceCustomString5
"From:" sender
cs5Label
deviceCustomString5Label
"From header"
cs6
deviceCustomString6
"To:" and "Cc:" recipients
cs6Label
deviceCustomString6Label
"To and Cc headers"
fname
filename (1023)
Attachment name
Name of the first detected attachment
fileHash
fileHash (255)
Attachment hash
Hash of the first detected attachment
fsize
fileSize
Attachment size
Size of the first detected attachment
reason
reason (1023)
Rule/policy activated
Name of the policy triggered by the email or it is content
ESETEMSXFileDetails
ESETEMSXFileDetails
File details
Information about all detected attachments, their names, hashes and sizes
Result of Antispam scan, including reason for marking as spam
Result of Anti-Phishing scan, including detected URL
Result of SPF/DKIM/DMARC check, in RFC7601 format
Sender address from RFC5322 header "From:"
Recipients addresses from RFC5322 headers "To:" and "Cc:"
Optional
CEF Key Name
CEF Key Full Name (Size)
Field Description
end
endTime
Time event has ended
dtz
deviceTimeZone (255)
Timezone of the server
request
requestURL
Detected URL
Detailed Field Description
Heure de fin de l'activité, en millisecondes, depuis le 1er janvier 1970. Utile uniquement si la technologie
de sandboxing est utilisée dans ESET LiveGuard Advanced.
URL malveillante ou sur liste noire extraite du corps ou des en-têtes du message. ESET Mail Security ne
fournit pas d'URL unique dans les journaux, car les différents composants de détection peuvent détecter
plusieurs URL dans les e-mails.
Mode de présentation
Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors
de l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent
réduire les contraintes sur l'UC. Il peut également être utilisé au cours de présentations qui ne peuvent pas être
interrompues par l'activité d'ESET Mail Security. Lorsqu'il est activé, toutes les fenêtres de notification sont
désactivées et les tâches planifiées ne sont pas exécutées. La protection du système continue à fonctionner en
arrière-plan, mais n'exige aucune interaction de la part de l'utilisateur.
Activer automatiquement le mode de présentation lors de l’exécution d’applications en mode plein écran
Le mode de présentation est automatiquement activé lorsque vous exécutez une application en mode plein
écran. Lorsque ce mode est activé, vous n'êtes plus en mesure d'afficher les notifications ou le changement d'état
de ESET Mail Security.
Désactiver automatiquement le mode de présentation après
Permet de définir une durée en minutes après laquelle le mode de présentation est automatiquement désactivé.
Diagnostics
L'option Diagnostics fournit un fichier d'image mémoire en cas de défaillance d'une application lors des processus
ESET (par exemple ekrn). Dès qu’une application présente une défaillance, un fichier d’image mémoire est
généré. Ce fichier permet aux développeurs de déboguer et de résoudre différents ESET Mail Security problèmes.
Cliquez sur le menu déroulant en regard de l'option Type de fichier d'image mémoire, puis sélectionnez l'une des
trois options disponibles :
266
• Désactiver : Permet de désactiver cette fonctionnalité.
• Mini : (Valeur par défaut) Enregistre le plus petit ensemble d'informations utiles qui peut permettre
d'identifier les raisons de l'arrêt inopiné de l'application. Ce type de fichier d'image mémoire peut être utile
lorsque l'espace disponible est limité. Toutefois, en raison des informations limitées qui figurent dans ce
fichier, les erreurs qui n'étaient pas directement provoquées par la menace (car cette dernière ne
s'exécutait pas au moment du problème) risquent de ne pas être détectées par l'analyse de ce fichier.
• Complet : Enregistre tout le contenu de la mémoire système en cas d'arrêt inopiné de l'application. Un
fichier d'image mémoire complet peut contenir des données provenant des processus en cours au moment
de sa collecte.
Répertoire cible
Répertoire dans lequel est généré le fichier d’image mémoire lors de la défaillance.
Ouvrir le dossier de diagnostics
Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur Windows.
Créer un fichier d'image mémoire de diagnostics
Cliquez sur Créer pour créer des fichiers d'image mémoire de diagnostics dans le répertoire cible.
Journalisation avancée
Activer la journalisation avancée du scanner d'ordinateur : Enregistrez tous les événements qui se produisent
lors de l’analyse des fichiers et des dossiers par l’analyse de l’ordinateur ou la protection en temps réel du
système de fichiers.
Activer la journalisation avancée du contrôle des appareils : Enregistrez tous les événements qui se produisent
dans le contrôle des appareils pour permettre un diagnostic et la résolution des problèmes.
Activer la journalisation avancée de Direct Cloud : Enregistrez toutes les communications du produit entre celuici et les serveurs Direct Cloud.
Activer la journalisation avancée de la protection des documents : Enregistrez tous les événements qui se
produisent dans la protection des documents pour permettre un diagnostic et la résolution des problèmes.
Activer la journalisation avancée de la protection du client de messagerie : Enregistrez tous les événements qui
se produisent dans la protection du client de messagerie pour permettre un diagnostic et la résolution des
problèmes.
Activer la journalisation avancée du noyau : Enregistrez tous les événements qui se produisent dans le service de
noyau ESET (ekrn) pour permettre un diagnostic et la résolution des problèmes.
Activer la journalisation avancée des licences : enregistrez toutes les communications du produit avec le serveur
de licences.
Activer le suivi de la mémoire : Enregistrez tous les événements qui permettront aux développeurs de
diagnostiquer les fuites de mémoire.
Activer la journalisation avancée de la protection du réseau : Enregistrez toutes les données réseau qui passent
267
par la protection du réseau au format PCAP. Les développeurs peuvent ainsi diagnostiquer et résoudre les
problèmes liés à la protection du réseau.
Activer la journalisation du système d'exploitation : Des informations supplémentaires sur le système
d'exploitation telles que les processus en cours, l'activité de l'UC et les opérations du disque sont recueillies.
Celles-ci peuvent aider les développeurs à diagnostiquer et résoudre les problèmes liés au produit ESET
s'exécutant sur votre système d'exploitation.
Activer la journalisation avancée du filtrage des protocoles : Enregistrez toutes les données qui passent par le
moteur de filtrage des protocoles au format PCAP. Les développeurs peuvent ainsi diagnostiquer et résoudre les
problèmes liés au filtrage des protocoles.
Activer la journalisation avancée des messages Push : Enregistrez tous les événements pendant les messages
Push pour permettre les diagnostics et la résolution des problèmes.
Activer la journalisation avancée de la protection en temps réel du système de fichiers : enregistrez tous les
événements qui se produisent dans la protection en temps réel du système de fichiers pour permettre un
diagnostic et la résolution des problèmes.
Activer la journalisation avancée du moteur de mise à jour : Enregistrez tous les événements qui se produisent
pendant le processus de mise à jour. Les développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés
au moteur de mise à jour.
Activer la journalisation avancée de la gestion des vulnérabilités et des correctifs : Enregistrez tous les
événements qui se produisent dans la gestion des vulnérabilités et des correctifs pour permettre un diagnostic et
la résolution des problèmes.
Activer la journalisation avancée des scripts du navigateur : Enregistrez tous les événements qui se produisent
dans l'analyseur de scripts du navigateur pour permettre un diagnostic et la résolution des problèmes.
Activer la journalisation ESET LiveGuard Advanced : Enregistrez tous les événements qui se produisent dans ESET
LiveGuard pour permettre un diagnostic et la résolution des problèmes.
Emplacement des fichiers journaux
C:\ProgramData\ESET\ESET Security\Diagnostics\
Assistance technique
Vous pouvez envoyer les données de configuration système lorsque vous contactez l'assistance technique ESET
depuis ESET Mail Security. Sélectionnez Toujours soumettre pour que le système ne vous demande pas si vous
souhaitez soumettre les données de configuration d'ESET Mail Security au service client. Utilisez sinon Demander
avant soumission.
Cluster
L'option Activer le cluster est activée automatiquement lorsqu'ESET Cluster est configuré. Vous pouvez la
désactiver manuellement dans la fenêtre Configuration avancée (F5) en cliquant sur l'icône de commutateur
(lorsque vous devez modifier la configuration sans affecter les autres nœuds d'ESET Cluster, par exemple). Ce
commutateur active ou désactive uniquement la fonctionnalité ESET Cluster. Pour configurer ou détruire le
268
cluster, utilisez l'Assistant Cluster ou la commande Détruire le cluster située dans la section Outils > Cluster de la
fenêtre principale du programme.
Fonctionnalité ESET Cluster non configurée et désactivée :
Fonctionnalité ESET Cluster correctement configurée avec ses informations et options :
269
Connectivité
Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par l'intermédiaire
d'un serveur proxy. Si c'est le cas, les paramètres suivants doivent être définis. Si vous ne définissez pas les
paramètres, le programme ne peut pas se mettre à jour automatiquement.
La spécification du serveur proxy à ce niveau définit les paramètres de serveur proxy globaux pour l'intégralité
d'ESET Mail Security. Les paramètres définis ici seront utilisés par tous les modules qui se connectent à Internet.
Activez le bouton bascule Utiliser un serveur proxy, puis saisissez l'adresse du serveur proxy dans le champ
Serveur proxy, ainsi que le Numéro de port du serveur proxy.
Le serveur proxy exige une authentification
Si la communication réseau via le serveur proxy exige une authentification, activez cette option et indiquez le
nom d'utilisateur et le mot de passe.
Détecter le serveur proxy
Cliquez sur Détecter pour détecter et renseigner automatiquement les paramètres du serveur proxy. Les
paramètres indiqués dans Internet Explorer sont copiés.
Cette fonctionnalité ne récupère pas les données d'authentification (nom d'utilisateur et mot de passe) ;
vous devez donc les fournir.
Utiliser une connexion directe si le serveur proxy n'est pas disponible
270
Si un produit est configuré pour utiliser le proxy HTTP et que ce dernier est injoignable, le produit ignore le proxy
et communique directement avec les serveurs ESET.
Interface utilisateur
Configurez le comportement de l'interface utilisateur graphique (GUI) de ESET Mail Security. Vous pouvez ajuster
l'apparence du programme et l'utilisation des effets.
Utilisez le menu déroulant Mode de démarrage de l'interface utilisateur graphique pour sélectionner un mode de
démarrage de l'interface utilisateur graphique (GUI) parmi les suivants :
• Complet - L’interface utilisateur graphique complète sera affichée.
• Terminal - Aucune notification ni alerte n'est affichée. L'interface utilisateur graphique peut être
uniquement démarrée par l'administrateur. L'interface utilisateur doit être définie sur le mode Terminal si
les éléments graphiques ralentissent les performances de votre ordinateur ou entraînent d'autres
problèmes. Vous souhaiterez peut-être également désactiver l'interface utilisateur graphique sur un serveur
Terminal Server. Pour plus d'informations sur l'installation de ESET Mail Security sur un serveur Terminal
Server, reportez-vous à la rubriqueDésactiver l'interface utilisateur graphique sur un serveur Terminal
Server.
Mode couleur
Sélectionnez le modèle de couleurs de l’interface utilisateur graphique (GUI) d'ESET Mail Security dans le menu
déroulant :
• Identique à la couleur du système - Le modèle de couleurs d'ESET Mail Security repose sur les paramètres
du système d’exploitation.
• Sombre - ESET Mail Security utilise un modèle de couleurs foncées (mode sombre).
• Clair - ESET Mail Security utilise un modèle de couleurs claires (standard).
Afficher l’écran de démarrage
Désactivez cette option si vous préférez ne pas afficher l'écran de démarrage lorsque la fenêtre principale du
programme ESET Mail Security démarre, par exemple lors de la connexion au système.
Émettre un signal sonore
ESET Mail Security émet un signal sonore en cas d'événement important lors d'une analyse, par exemple
lorsqu'une menace est découverte ou lorsque l'analyse est terminée.
Intégrer dans le menu contextuel
Lorsque cette option est activée, les éléments de commande de ESET Mail Security sont intégrés dans le menu
contextuel. Le menu contextuel est le menu qui s'affiche lorsque vous cliquez avec le bouton droit sur un objet
(fichier). Il répertorie toutes les actions que vous pouvez effectuer sur un objet.
Informations sur la licence
Lorsque cette option est activée, des messages et des notifications concernant votre licence s'affichent.
271
Afficher les informations de la licence
Lorsque cette option est désactivée, la date d’expiration de la licence dans l'état de la protection et l’écran Aide
et assistance ne s’affiche pas.
Configurer les statuts d'application liés aux licences
Ouvre la liste des états d’application liés aux licences.
Configurer les notifications de licence
Lorsque cette option est désactivée, les notifications et messages ne s’affichent que lorsque la licence arrive à
expiration.
Configuration de l'accès
Vous pouvez empêcher toute modification non autorisée à l'aide de l'outil Configuration de l'accès afin d'assurer
un niveau élevé de sécurité.
ESET Shell
Vous pouvez configurer les droits d'accès aux données, fonctionnalités et paramètres du produit par
l'intermédiaire d'eShell en changeant la Politique d'exécution du ESET Shell.
Icône dans la zone de notification Windows
Rétablir tous les paramètres de cette section
Configuration de l'accès
Il est essentiel que ESET Mail Security soit correctement configuré pour garantir la sécurité maximale du système.
Tout changement inapproprié peut entraîner des problèmes, voire même la perte de données importantes. Pour
éviter des modifications non autorisées, la configuration de ESET Mail Security peut être protégée par mot de
passe.
Si vous désinstallez ESET Mail Security alors que vous utilisez la protection par mot de passe de la
configuration d'accès, vous serez invité à saisir le mot de passe. Si vous ne le saisissez pas, vous ne pourrez
pas désinstaller ESET Mail Security.
Protéger les paramètres par un mot de passe
Verrouille ou déverrouille les paramètres de configuration du programme. Cliquez sur cette option pour ouvrir la
fenêtre Configuration du mot de passe.
Définir le mot de passe
Pour définir ou modifier un mot de passe visant à protéger les paramètres de configuration, cliquez sur Définir.
Pour protéger les paramètres de configuration d'ESET Mail Security afin d'éviter toute modification non autorisée,
vous devez définir un nouveau mot de passe. Si vous souhaitez modifier un mot de passe existant, tapez votre
ancien mot de passe dans le champ Ancien mot de passe, saisissez votre nouveau mot de passe dans les champs
Nouveau mot de passe et Confirmer le mot de passe, puis cliquez sur OK. Ce mot de passe sera nécessaire à
toute modification apportée à ESET Mail Security.
272
Demander des droits d’administrateur complets pour des comptes Administrateur limités
Sélectionnez cette option pour inviter l'utilisateur actuel (qui ne possède pas les autorisations d'administrateur) à
saisir les informations d'identification du compte administrateur lors de la modification de certains paramètres du
système, comme la désactivation des modules de protection.
Si le mot de passe de la configuration de l'accès change et si vous souhaitez importer un fichier de
configuration .xml existant (qui a été signé avant la modification du mot de passe) à l'aide de la ligne de
commande ESET CMD, veillez à signer de nouveau le fichier à l'aide du mot de passe actuel. Vous pouvez
ainsi utiliser un ancien fichier de configuration sans avoir besoin de l'exporter sur un autre ordinateur
exécutant ESET Mail Security avant l'importation.
ESET Shell
Vous pouvez configurer les droits d'accès aux données, fonctionnalités et paramètres du produit par
l'intermédiaire d'eShell en changeant la Politique d'exécution du ESET Shell. Le paramètre par défaut est Scripts
limités, mais vous pouvez le modifier et choisir Désactivé, Lecture seule ou Accès complet, si nécessaire.
Désactivé
eShell ne peut pas être utilisé. Seule la configuration d'eShell est autorisée dans le contexte ui eshell. Vous pouvez
personnaliser l'aspect d'eShell, mais vous ne pouvez pas accéder aux paramètres ou données du produit.
Lecture seule
eShell peut être utilisé comme outil de surveillance. Vous pouvez afficher tous les paramètres dans les modes de
traitement par lots et interactif. Vous ne pouvez toutefois pas modifier les paramètres, les fonctionnalités ni les
données.
Scripts limités
En mode interactif, vous pouvez afficher l'ensemble des paramètres, des fonctionnalités et des données. En mode
de traitement par lots, eShell fonctionne comme si vous étiez en mode de lecture seule. Toutefois, si vous utilisez
des fichiers de commandes signés, vous ne pouvez pas modifier les paramètres ni les données.
Accès complet
L'accès à tous les paramètres est illimité dans les modes interactif et de traitement par lots (lors de l'exécution de
fichiers de commandes). Vous pouvez afficher et modifier les paramètres. Pour exécuter eShell avec un accès
complet, vous devez utiliser un compte d'administrateur. Si la fonctionnalité Contrôle de compte d'utilisateur
(UAC) est activée, une élévation est également requise.
Icône dans la zone de notification Windows
Pour accéder aux fonctionnalités et options de configuration les plus importantes, cliquez avec le bouton droit sur
l'icône
dans la zone de notification Windows.
Pour accéder à la zone de notification Windows du système, veillez à ce que le mode de démarrage des
éléments de l'interface utilisateur soit défini sur Complet.
273
Plus d'informations
Permet d'afficher la page Supervision pour montrer l'état actuel de la protection et les messages.
Désactiver la protection
Affiche la boîte de dialogue de confirmation qui désactive l'antivirus et antispyware ; ce dernier protège des
attaques malveillantes en contrôlant les fichiers et les communications par messagerie et Internet. Le menu
déroulant Intervalles de temps permet de spécifier la durée de désactivation de la protection.
Configurations avancées
Ouvre la configuration avancée d'ESET Mail Security.
Fichiers journaux
Contiennent tous les événements importants qui se sont produits et fournissent un aperçu des menaces
détectées.
Réinitialiser la présentation des fenêtres
Rétablit la taille et la position par défaut de la fenêtre ESET Mail Security.
Mode couleur
Ouvre les paramètres de l’interface utilisateur où vous pouvez changer la couleur de l’interface utilisateur
graphique.
Rechercher des mises à jour
Commence la mise à jour des modules afin de garantir un niveau optimal de protection contre les codes
malveillants.
À propos
Les informations système fournissent des détails sur la version installée d'ESET Mail Security, sur les modules
installés et sur la date d'expiration de votre licence. Des informations sur votre système d'exploitation et les
ressources système figurent dans la partie inférieure de la page.
Notifications
Les notifications sur le Bureau et les info-bulles sont fournies à titre d'information uniquement et n'exigent
aucune interaction avec l'utilisateur. Elles s'affichent dans la partie système de la barre d'état, dans l'angle
inférieur droit de l'écran. D'autres options détaillées (la durée d'affichage des notifications et la transparence de
la fenêtre) peuvent être modifiées en dessous.
Gérez les notifications ESET Mail Security. Ouvrez Configurations avancées (F5) > Notifications. Vous pouvez
configurer les types suivants :
• États d’application : cliquez sur Modifier pour sélectionner les états d’application qui seront affichés dans
la section d'accueil de la fenêtre principale du programme.
• Notifications du Bureau : petites fenêtres contextuelles en regard de la barre des tâches système.
274
• Alertes interactives : fenêtres d’alerte et boîtes de message qui nécessitent une interaction de l’utilisateur.
• Transfert (notifications par e-mail) : les notifications sont envoyées à une adresse e-mail spécifiée.
États d'application
Cette boîte de dialogue permet de sélectionner les états d'application à afficher ou non. Par exemple lorsque vous
interrompez la protection antivirus et antispyware, ce qui entraînera une modification de l'état de la protection
dans la page Supervision. Un état d'application est également affiché si votre produit n'est pas activé ou si la
licence est arrivée à expiration. Les états d'application peuvent être modifiés par le biais des stratégies d'ESET
PROTECT.
États et messages désactivés
Messages de confirmation
Affiche la liste des messages de confirmation que vous pouvez choisir d'afficher ou non.
États d'application
Activez ou désactivez l'affichage de l'état dans la page Supervision du menu principal.
Notifications du Bureau
La notification du Bureau est représentée par une petite fenêtre de notification en regard de la barre des tâches
système. Elle est définie par défaut pour s'afficher pendant 10 secondes, puis elle disparaît lentement. ESET Mail
275
Security communique avec l’utilisateur en l’informant des mises à jour du produit, des nouveaux appareils
connectés, des analyses antivirus, de l’achèvement d'une tâche ou des nouvelles détections effectuées.
Afficher les notifications du Bureau
Il est recommandé de garder cette option activée afin que le produit puisse vous informer lorsqu’un nouvel
événement se produit.
Notifications du Bureau
Cliquez sur Modifier pour sélectionner les notifications du Bureau afin de communiquer différents événements.
Activez l'option Ne pas afficher les notifications en cas d'exécution d'applications en mode plein écran pour
supprimer toutes les notifications non interactives.
Afficher le temps en secondes
Définissez la durée de visibilité de la notification. La valeur doit être comprise entre 3 et 30 secondes.
Transparence
Définissez le pourcentage de transparence des notifications. La plage prise en charge est de 0 (pas de
transparence) à 80 (transparence très élevée).
Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité
des alertes et notifications. Les options disponibles sont les suivantes :
• Diagnostic - Consigne toutes les informations nécessaires au réglage du programme et de toutes les
entrées ci-dessus.
• Entrées informatives - Enregistre tous les messages d'information, y compris les messages de mises à jour
réussies et toutes les entrées ci-dessus.
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les erreurs critiques.
• Critique - Consigne uniquement les erreurs critiques.
Le champ Sur les systèmes multi-utilisateurs, afficher les notifications sur l'écran de l'utilisateur suivant indique
l'utilisateur qui recevra les notifications système et les autres notifications lorsque le système autorise la
connexion simultanée de plusieurs utilisateurs. Normalement, il doit s'agir de l'administrateur système ou de
l'administrateur réseau. Cette option est particulièrement utile pour les serveurs Terminal Server, à condition que
toutes les notifications système soient envoyées à l'administrateur.
Autoriser les notifications à occuper l'écran - Les notifications occupent l'écran et sont accessibles en appuyant
sur Alt+Tab.
Personnalisation
Cette fenêtre vous permet de personnaliser les messages utilisés dans les notifications.
276
Message de notification : Message par défaut à afficher dans le pied de page des notifications.
Détection
Ne pas fermer automatiquement les notifications de détection
Les notifications de détection restent affichées à l'écran jusqu'à ce qu'elles soient fermées manuellement.
Utiliser le message défaut
Vous pouvez désactiver le message par défaut et spécifier le message de notification de détection personnalisé
qui sera affiché lors du blocage d'une détection.
Message de notification de détection
Saisissez un message personnalisé à afficher lorsqu'une détection est bloquée.
Notifications du Bureau
Vous pouvez configurer des notifications ESET Mail Security à afficher sur le bureau.
Alertes interactives
Vous pouvez configurer la manière dont ESET Mail Security traite les alertes de menace et les notifications
système (messages indiquant une mise à jour réussie, par exemple). Vous pouvez par exemple configurer la
Durée et la Transparence des notifications dans la zone de notification Windows (cela ne s'applique qu'aux
systèmes prenant en charge les notifications).
277
Afficher les alertes interactives
Désactivez cette fonctionnalité si vous souhaitez empêcher ESET Mail Security d'afficher des alertes dans la zone
de notification Windows.
Liste des alertes interactives
Utile pour l'automatisation. Désactivez l'option Demander à l'utilisateur pour les éléments que vous souhaitez
automatiser et choisissez l'action à exécuter au lieu que la fenêtre d'alerte attende votre action.
Les zones de message servent à afficher de courts messages de texte ou des questions.
Fermer automatiquement les zones de message
Permet de fermer automatiquement les fenêtres de notification après un certain délai. Si les fenêtres d'alerte ne
sont pas fermées manuellement, le système les ferme automatiquement une fois le laps de temps écoulé.
Messages de confirmation
Lorsque vous cliquez sur Modifier, une fenêtre contextuelle s'affiche. Elle contient la liste des messages de
confirmation que ESET Mail Security affiche avant l'exécution d'une action. Utilisez les cases à cocher pour
personnaliser vos préférences pour les messages de confirmation.
Redémarrage nécessaire
Un redémarrage de l'ordinateur est nécessaire après la mise à jour des applications tierces vers la nouvelle
version ou l'application de correctifs via la Gestion des vulnérabilités et des correctifs.
Il se peut que certaines applications tierces doivent être fermées avant la mise à niveau. Si c'est le cas, vous
verrez une notification pendant 60 secondes avant que l'application et ses processus d'arrière-plan ne
soient arrêtés. Vous pouvez planifier la mise à jour ou l'application de correctifs en conséquence, car les
applications tierces ne seront pas disponibles pendant la durée de la mise à jour.
Transfert
ESET Mail Security peut automatiquement envoyer des courriers électroniques de notification si un événement
avec le niveau de verbosité sélectionné se produit. Activez l'option Envoyer des notifications d'événement par email pour activer les notifications par e-mail.
Transférer vers l'adresse e-mail
Activez Transférer les notifications vers l'adresse e-mail pour activer les notifications par e-mail.
Notifications transférées
Sélectionnez quelles notifications du Bureau sont transférées vers l'adresse e-mail.
Configurations des e-mails
Verbosité minimale des notifications - Spécifie le niveau minimum de verbosité des notifications à envoyer.
278
• Diagnostic - Consigne toutes les informations nécessaires au réglage du programme et de toutes les
entrées ci-dessus.
• Entrées informatives - Consigne tous les messages d'information comme les événements de réseau non
standard, y compris les messages de mises à jour réussies et toutes les entrées ci-dessus.
• Avertissements - Consigne les erreurs critiques et les messages d’avertissement (Antistealth ne s’exécute
pas correctement ou la mise à jour a échoué).
• Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les erreurs critiques.
• Critique - Consigne uniquement les erreurs critiques.
Envoyer chaque notification dans un e-mail séparé
Lorsque cette option est activée, le destinataire recevra un nouvel e-mail pour chaque notification spécifique.
Cela peut se traduire par la réception d'un nombre important d'e-mails dans une courte période de temps.
Intervalle après lequel les nouveaux e-mails de notification seront envoyés (min)
Intervalle en minutes après lequel de nouvelles notifications seront envoyées par e-mail. Définissez cette valeur
sur 0 si vous souhaitez envoyer ces notifications immédiatement.
Adresse de l’expéditeur
Adresse de l'expéditeur - Saisissez l'adresse de l'expéditeur qui apparaît dans l'en-tête des mails de notification. Il
s'agit de l'adresse que le destinataire pourra voir dans le champ De.
Adresse du destinataire
Spécifiez l’adresse e-mail du destinataire qui sera affichée dans l’en-tête des e-mails de notification. Utilisez un
point-virgule « ; » pour séparer plusieurs adresses e-mail.
Serveur SMTP
Nom du serveur SMTP utilisé pour envoyer des alertes et des notifications. Il s'agit généralement du nom de votre
serveur de messagerie.
Les serveurs SMTP avec chiffrement TLS sont pris en charge par ESET Mail Security.
Nom d'utilisateur et mot de passe
Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un
mot de passe valides donnant accès au serveur SMTP.
Activer TLS
Permet d'activer les messages d'alerte et de notification pris en charge par le chiffrement TLS.
Tester la connexion SMTP
Un message de test sera envoyé à l’adresse e-mail du destinataire.
279
Format des messages
Les communications entre le programme et l'utilisateur ou l'administrateur système distants se font via la
messagerie ou le réseau local (au moyen du service Windows Messenger). Le format des messages d’alerte et des
notifications par défaut est optimal dans la plupart des situations. Dans certaines situations, le format des
messages d'événement doit être changé.
Format des messages d’événement
Spécifiez le format des messages de notification d'événement envoyés par e-mail.
Format des messages d’avertissement de menace
Messages d'alerte et de notification de menace dont le format par défaut est prédéfini. Il est déconseillé de
modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé de
traitement des messages), vous serez peut-être amené à modifier le format des messages.
Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les informations réelles
spécifiées. Les mots-clés suivants sont disponibles :
• %TimeStamp% - Date et heure de l'événement.
• %Scanner% - Module concerné.
• %ComputerName% - Nom de l'ordinateur sur lequel l'alerte s'est produite.
• %ProgramName% - Programme ayant généré l'alerte.
• %DetectionObject% - Nom du fichier, message infecté, etc.
• %DetectionName% - Identification de l'infection.
• %ErrorDescription% - Description d'un événement autre qu'un virus.
Les mots-clés %DetectionObject% et %DetectionName% ne sont utilisés que dans les messages d'alerte de
menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement.
Jeu de caractères
Vous pouvez choisir le codage dans le menu déroulant. L'e-mail sera converti en fonction du codage de caractères
sélectionné. Convertit le message e-mail au codage ANSI sur la base des paramètres régionaux de Windows (par
exemple, windows-1250, Unicode (UTF-8), ACSII 7 bits ou japonais (ISO-2022-JP). Ainsi, « á » sera changé en « a »
et un symbole inconnu en « ? ».
Utiliser le codage Quoted-printable
L'e-mail source est codé au format Quoted-printable (QP) qui utilise les caractères ASCII et peut correctement
transmettre les caractères spéciaux par e-mail au format 8 bits (áéíóú).
280
Rétablir les paramètres par défaut
Vous pouvez rétablir les valeurs par défaut des paramètres dans Configuration avancée. Deux options sont
disponibles. Vous pouvez rétablir les valeurs par défaut de tous les paramètres ou ce ceux d'une section
spécifique uniquement (les paramètres des autres sections ne sont pas modifiés).
Rétablir tous les paramètres : Tous les paramètres de toutes les sections de la configuration avancée seront
restaurés à l'état qu'ils avaient après l'installation de ESET Mail Security. Cette option peut être comparée à
Restaurer les paramètres d'usine.
Une fois que vous cliquez sur Rétablir les paramètres par défaut, les modifications apportées sont
perdues. Cette action ne peut pas être annulée.
Rétablir tous les paramètres de cette section : rétablit les valeurs par défaut des paramètres du module dans la
section sélectionnée. Toutes les modifications que vous avez apportées dans cette section seront perdues.
Rétablir le contenu des tables : Lorsque cette option est activée, les règles, les tâches ou les profils ajoutés
automatiquement ou manuellement sont perdus.
Aide et assistance
ESET Mail Security contient des outils de dépannage et des informations d'assistance qui vous aideront à résoudre
les problèmes que vous pouvez rencontrer.
Produit installé
Informations sur le produit et la licence
• À propos de ESET Mail Security - Affiche des informations sur votre copie de ESET Mail Security.
• Résolution des problèmes liés aux produits - Permet de trouver les solutions aux problèmes les plus
fréquents. Nous vous recommandons de lire cette section avant de contacter le service d'assistance
281
technique.
• Résolution des problèmes liés aux licences - Permet de trouver des solutions aux problèmes liés à
l’activation ou au changement de licence.
• Changer de licence - Cliquez sur cette option pour ouvrir la fenêtre d’activation et activer votre produit.
Pages d'aide
Lance les pages d'aide en ligne de ESET Mail Security.
Base de connaissances
Rechercher la base de connaissances ESET - La base de connaissances ESET contient des réponses aux questions
les plus fréquentes et les solutions recommandées pour résoudre divers problèmes. Régulièrement mise à jour
par les spécialistes techniques d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre
différents types de problèmes.
Assistance technique
• Journalisation avancée : Créez des journaux avancés pour toutes les fonctionnalités disponibles. Les
développeurs pourront ainsi diagnostiquer et résoudre les problèmes éventuels.
• Demander une assistance - Si vous ne trouvez pas de réponse à votre problème, contactez notre service
d’assistance technique.
• Informations détaillées pour l'assistance technique : Affiche des informations détaillées (nom du produit,
version du produit, etc.) pour l'assistance technique.
• ESET Log Collector : ESET Log Collector est une application qui collecte automatiquement les informations
de configuration et les journaux d'un serveur pour permettre de résoudre plus rapidement les problèmes.
Envoyer les données de configuration système
Pour offrir l'assistance adéquate le plus rapidement possible, ESET requiert des informations sur la configuration
de ESET Mail Security, sur le système et les processus en cours (fichier journal ESET SysInspector), ainsi que les
données du Registre. ESET utilise ces données uniquement pour fournir une assistance technique au client. Ce
paramètre peut être également configuré dans Configuration avancée (F5) > Outils > Diagnostics > Assistance
technique.
Si vous choisissez d'envoyer les données système, vous devez remplir le formulaire Web et l'envoyer.
Sinon, votre ticket n'est pas créé et vos données système sont perdues.
Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont également
envoyées à ESET. Sélectionnez Toujours envoyer ces informations si vous souhaitez mémoriser cette action pour
ce processus. Pour envoyer le formulaire Web sans envoyer de données, cliquez sur Ne pas envoyer de données
et continuez le processus.
282
À propos d'ESET Mail Security
Cette fenêtre fournit des informations sur la version installée de ESET Mail Security. La partie supérieure de la
fenêtre contient des informations sur le système d'exploitation et les ressources système, ainsi que sur
l'utilisateur actuellement connecté et le nom de l'ordinateur.
Composants installés
Permet d'obtenir des informations sur les modules, d'afficher la liste des composants installés et les informations
associées. Cliquez sur Copier pour copier la liste dans le Presse-papiers. Ce procédé peut être utile pour la
résolution des problèmes ou lorsque vous contactez l'assistance technique.
Glossaire
Pour plus d'informations sur les termes techniques, les menaces et la sécurité sur Internet, consultez la page du
glossaire.
Documents juridiques
Voici une collection de documents juridiques :
• Contrat de licence de l'utilisateur final
• Politique de confidentialité
Contrat de licence de l'utilisateur final
En vigueur à compter du 19 octobre 2021.
IMPORTANT : Veuillez lire soigneusement les termes et conditions d’application du produit stipulés ci-dessous
avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, INSTALLANT, COPIANT
OU UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES TERMES ET CONDITIONS ET RECONNAISSEZ AVOIR PRIS
CONNAISSANCE DE LA POLITIQUE DE CONFIDENTIALITÉ.
Contrat de licence de l'utilisateur final
Selon les termes du présent Contrat de Licence pour l'Utilisateur Final (« Contrat ») signé par et entre ESET, spol. s
r. o., dont le siège social se situe au Einsteinova 24, 85101 Bratislava, Slovak Republic, inscrite au Registre du
Commerce du tribunal de Bratislava I. Section Sro, Insertion No 3586/B, numéro d'inscription des entreprises :
31333532 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (« vous » ou « Utilisateur Final »),
vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre des modalités
indiquées ci-dessous, le Logiciel défini à l'article 1 du présent Contrat peut être enregistré sur un support de
données, envoyé par courrier électronique, téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur
ou obtenu à partir d'autres sources.
CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le
Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage
commercial, et de toutes les copies du Logiciel que l’Utilisateur Final est autorisé à faire dans le cadre du présent
283
Contrat.
En cliquant sur « J’accepte » ou « J’accepte... » lorsque vous téléchargez, installez, copiez ou utilisez le Logiciel,
vous acceptez les termes et conditions du présent Contrat et reconnaissez avoir pris connaissance de la Politique
de confidentialité. Si vous n’êtes pas d’accord avec tous les termes et conditions du présent Contrat et/ou de la
Politique de confidentialité, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement ou
l'installation, détruisez ou renvoyez le Logiciel, le support d'installation, la documentation connexe et une facture
au Fournisseur ou à l'endroit où vous avez obtenu le Logiciel.
VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE
PRÉSENT CONTRAT ET ACCEPTÉ D’EN RESPECTER LES TERMES ET CONDITIONS.
1. Logiciel. Dans le cadre du présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique et tous
ses composants ; (ii) le contenu des disques, des CD-ROM, des DVD, des courriers électroniques et de leurs pièces
jointes, ou de tout autre support auquel le présent Contrat est attaché, dont le formulaire de code objet fourni
sur un support de données, par courrier électronique ou téléchargé par le biais d’Internet ; (iii) tous documents
explicatifs écrits et toute documentation relative au Logiciel, en particulier, toute description du Logiciel, ses
caractéristiques, description des propriétés, description de l’utilisation, description de l’interface du système
d’exploitation sur lequel le Logiciel est utilisé, guide d’installation ou d’utilisation du Logiciel ou description de
l’utilisation correcte du Logiciel (« Documentation ») ; (iv) les copies du Logiciel, les correctifs d’erreurs du
Logiciel, les ajouts au Logiciel, ses extensions, ses versions modifiées et les mises à jour des parties du Logiciel, si
elles sont fournies, au titre desquels le Fournisseur vous octroie la Licence conformément à l’article 3 du présent
Contrat. Le Logiciel est fourni exclusivement sous la forme d'un code objet exécutable.
2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de données, envoyé par courrier
électronique, téléchargé à partir d'Internet ou de serveurs du Fournisseur ou obtenu à partir d'autres sources
nécessite une installation. Vous devez installer le Logiciel sur un Ordinateur correctement configuré, qui doit au
moins satisfaire les exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la
Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout programme ou matériel
susceptible de nuire au bon fonctionnement du Logiciel. Le terme Ordinateur désigne le matériel, notamment les
ordinateurs personnels, ordinateurs portables, postes de travail, ordinateurs de poche, smartphones, appareils
électroniques portatifs ou autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera
installé et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres, chiffres ou signes
spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du Logiciel, de sa version spécifique ou de
l'extension de la durée de la Licence conformément au présent Contrat.
3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous respectiez tous les
termes et conditions stipulés dans le présent Contrat, le Fournisseur vous accorde les droits suivants (« Licence
») :
a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le
disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de
stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel.
b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs Finaux. On
entend par « Utilisateur Final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si l’étendue
de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur Final désigne un utilisateur d’ordinateur qui
reçoit un courrier électronique par le biais d’un client de messagerie. Si le client de messagerie accepte du
courrier électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre
d’Utilisateurs Finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courrier
électronique est distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre
d’Utilisateurs Finaux est égal au nombre de serveurs de messagerie pour lesquels la passerelle fournit des
284
services. Si un certain nombre d’adresses de messagerie sont affectées à un seul et même utilisateur (par
l’intermédiaire d’alias) et que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du
côté du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas
utiliser la même Licence au même moment sur plusieurs ordinateurs. L'Utilisateur Final n'est autorisé à saisir la
Clé de licence du Logiciel que dans la mesure où il a le droit d'utiliser le Logiciel conformément à la limite
découlant du nombre de licences accordées par le Fournisseur. La Clé de licence est confidentielle. Vous ne devez
pas partager la Licence avec des tiers ni autoriser des tiers à utiliser la Clé de licence, sauf si le présent Contrat ou
le Fournisseur le permet. Si votre Clé de licence est endommagée, informez-en immédiatement le Fournisseur.
c) Home/Business Edition. Une version Home Edition du Logiciel doit être utilisée exclusivement dans des
environnements privés et/ou non commerciaux, pour un usage domestique et familial uniquement. Une version
Business Edition du Logiciel est requise pour l'utiliser dans un environnement commercial ainsi que pour utiliser le
Logiciel sur des serveurs de messagerie, relais de messagerie, passerelles de messagerie ou passerelles Internet.
d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps.
e) Logiciel acheté à un fabricant d’équipement informatique. Les logiciels classés comme achetés à un fabricant
d'équipement informatique sont limités à l'ordinateur avec lequel vous les avez obtenus. Elle ne peut pas être
transférée à un autre ordinateur.
f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou
comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou
d’évaluation des caractéristiques du Logiciel.
g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été
accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au
Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas
d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le
Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la
résiliation de la Licence, le Fournisseur est en droit de mettre fin au droit de l'Utilisateur final à l'utilisation des
fonctions du Logiciel, qui nécessitent une connexion aux serveurs du Fournisseur ou à des serveurs tiers.
4. Fonctions avec des exigences en matière de connexion Internet et de collecte de données. Pour fonctionner
correctement, le Logiciel nécessite une connexion Internet et doit se connecter à intervalles réguliers aux serveurs
du Fournisseur ou à des serveurs tiers et collecter des données en conformité avec la Politique de confidentialité.
Une connexion Internet et une collecte de données sont requises pour les fonctions suivantes du Logiciel :
a) Mises à jour du Logiciel. Le Fournisseur est autorisé de temps à autre à publier des mises à jour ou des mises à
niveau du Logiciel (« Mises à jour »), mais n’en a pas l’obligation. Cette fonction est activée dans la configuration
standard du Logiciel ; les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur Final a désactivé
l’installation automatique des Mises à jour. Pour la mise à disposition de Mises à jour, une vérification de
l'authenticité de la Licence est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur
et/ou la plate-forme sur lesquels le Logiciel est installé, en conformité avec la Politique de confidentialité.
La fourniture des mises à jour peut être soumise à la Politique de fin de vie (« Politique de fin de vie »), qui est
disponible à l'adresse suivante : https://go.eset.com/eol. Aucune mise à jour ne sera fournie après que le Logiciel
ou l'une de ses fonctionnalités ait atteint la date de fin de vie telle que définie dans la Politique de fin de vie.
b) Réacheminement des infiltrations et des données au Fournisseur. Le Logiciel contient des fonctions qui
collectent des échantillons de virus, d'autres programmes informatiques également nuisibles et d'objets
problématiques, suspects, potentiellement indésirables ou dangereux tels que des fichiers, des URL, des paquets
IP et des trames Ethernet (« Infiltrations »), puis les envoient au Fournisseur, en incluant, sans s'y limiter, des
informations sur le processus d'installation, l'Ordinateur ou la plateforme hébergeant le Logiciel et des
285
informations sur les opérations et fonctions du Logiciel (« Informations »). Les Informations et les Infiltrations
sont susceptibles de contenir des données (y compris des données personnelles obtenues par hasard ou
accidentellement) concernant l’Utilisateur final et/ou d’autres usagers de l’ordinateur sur lequel le Logiciel est
installé et les fichiers affectés par les Infiltrations et les métadonnées associées.
Les informations et les infiltrations peuvent être collectées pat les fonctions suivantes du Logiciel :
i. La fonction Système de réputation LiveGrid collecte et envoie les hachages unidirectionnelles liés aux
Infiltrations au Fournisseur. Cette fonction est activée dans les paramètres standard du Logiciel.
ii. La fonction Système de commentaires LiveGrid collecte et envoie les Infiltrations avec les Informations et les
métadonnées associées au Fournisseur. Cette fonction peut être activée par l'Utilisateur Final pendant le
processus d'installation du Logiciel.
Le Fournisseur utilisera les Informations et Infiltrations reçues uniquement pour effectuer des analyses et des
recherches sur les Infiltrations et améliorer le Logiciel et la vérification de l'authenticité de la Licence. Il prendra
en outre les mesures adéquates afin de protéger les Infiltrations et Informations reçues. Si vous activez cette
fonction du Logiciel, les Infiltrations et Informations peuvent être collectées et traitées par le Fournisseur, comme
stipulé dans la Politique de confidentialité et conformément aux réglementations en vigueur. Vous pouvez
désactiver ces fonctions à tout moment.
Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données permettant au
Fournisseur de vous identifier conformément à la Politique de confidentialité. Vous acceptez que le Fournisseur
vérifie à l'aide de ses propres moyens si vous utilisez le Logiciel conformément aux dispositions du présent
Contrat. Vous reconnaissez qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées
pendant les communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de ses
partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, afin de garantir
les fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur.
Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans le cadre du réseau
de distribution et de support du Fournisseur, sont autorisés à transférer, à traiter et à stocker des données
essentielles vous identifiant, aux fins de facturation, d'exécution du présent Contrat et de transmission de
notifications sur votre Ordinateur.
Des informations détaillées sur la vie privée, la protection des données personnelles et Vos droits en tant que
personne concernée figurent dans la Politique de confidentialité, disponible sur le site Web du Fournisseur et
directement accessible à partir de l'installation. Vous pouvez également la consulter depuis la section d'aide du
Logiciel.
5. Exercice des droits de l’Utilisateur Final. Vous devez exercer les droits de l'Utilisateur Final en personne ou par
l'intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos
opérations et protéger les Ordinateurs ou systèmes informatiques pour lesquels vous avez obtenu une Licence.
6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux
dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel :
a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à
condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes
les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat.
b) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du Logiciel
ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat.
286
c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour
offrir des services commerciaux.
d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de
découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi.
e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans
laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits
de propriété intellectuelle.
f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la possibilité des autres
Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services
fournis à chacun des Utilisateurs Finaux, pour permettre l'utilisation des services au plus grand nombre possible
d'Utilisateurs Finaux. Le fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité
d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations présentes sur les
serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une fonction particulière du Logiciel.
g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui soit contraire aux
termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute personne n'étant pas autorisée à
utiliser le logiciel (comme le transfert d'une Clé de licence utilisée ou non utilisée ou la distribution de Clés de
licence dupliquées ou générées ou l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une
source autre que le Fournisseur).
7. Droit d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété
intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. ESET est protégée par les dispositions
des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La
structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations
confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel,
sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent
Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel.
Si vous rétroconcevez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le
code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi
obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès
que de telles données sont connues, indépendamment des droits du Fournisseur relativement à la violation du
présent Contrat.
8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui vous
sont expressément garantis en vertu des termes du présent Contrat en tant qu’Utilisateur final du Logiciel.
9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le Logiciel est utilisé sur plusieurs
plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le
Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une
Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des
versions ou des copies du Logiciel que vous n’utilisez pas.
10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous
pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos
frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée remise par le Fournisseur ou
ses partenaires commerciaux. Votre droit d'utiliser le Logiciel et l'une de ses fonctionnalités peut être soumis à la
Politique de fin de vie. Lorsque le logiciel ou l'une de ses fonctionnalités atteint la date de fin de vie définie dans la
Politique de fin de vie, votre droit d'utiliser le logiciel prend fin. Quelle que soit la façon dont ce Contrat se
termine, les dispositions énoncées aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée
illimitée.
287
11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE
LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU
IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE
LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION
OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE
VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE
À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR
NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE
LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE
RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET
POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS.
12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent
Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence.
13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR,
SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE
QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU
SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE
DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE
GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE
D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE
RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME
SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE.
CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA
LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES
CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE.
14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant
comme client si l’exécution y est contraire.
15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur
discrétion, sans garantie ni déclaration solennelle. Aucune assistance technique ne sera fournie après que le
Logiciel ou l'une de ses fonctionnalités ait atteint la date de fin de vie telle que définie dans la Politique de fin de
vie. L’Utilisateur Final devra peut-être sauvegarder toutes les données, logiciels et programmes existants avant
que l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en aucun cas tenus
responsables d’un quelconque dommage ou d’une quelconque perte de données, de biens, de logiciels ou de
matériel, ou d’une quelconque perte de profit en raison de la fourniture de l’assistance technique. ESET et/ou les
tiers mandatés par ESET se réservent le droit de décider si l’assistance technique couvre la résolution du
problème. ESET se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa
discrétion. Des informations de licence, d'autres informations et des données conformes à la Politique de
confidentialité peuvent être requises en vue de fournir une assistance technique.
16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins
d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur Final n’est autorisé qu’à transférer
de façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur Final avec
l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i)
l’Utilisateur Final d’origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits est direct, c’est-à-dire
qu’il s’effectue directement de l’Utilisateur Final original au nouvel Utilisateur Final ; (iii) le nouvel Utilisateur Final
assume tous les droits et devoirs de l’Utilisateur Final d’origine en vertu du présent Contrat ; (iv) l’Utilisateur Final
d’origine transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier l’authenticité du
Logiciel, conformément à l’article 17.
288
17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d'utiliser le Logiciel de
l'une des façons suivantes : (i) au moyen d'un certificat de licence émis par le Fournisseur ou un tiers mandaté par
le Fournisseur ; (ii) au moyen d'un contrat de licence écrit, si un tel contrat a été conclu ; (iii) en présentant un
courrier électronique envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur
et mot de passe). Des informations de licence et des données d'identification de l'Utilisateur Final conformes à la
Politique de confidentialité peuvent être requises en vue de vérifier l'authenticité du Logiciel.
18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs
publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans
le présent Contrat.
19. Conformité aux contrôles à l'exportation.
a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter, transférer ou mettre le
Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou participer à un acte qui pourrait entraîner
ESET ou ses sociétés de holding, ses filiales et les filiales de l'une de ses sociétés de holding, ainsi que les entités
contrôlées par ses sociétés de holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences
négatives de l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent
i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour l'exportation, la
réexportation ou le transfert de marchandises, de logiciels, de technologies ou de services, émises ou adoptées
par un gouvernement, un état ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du
Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au
titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou mène ses
activités et
ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction, embargo, interdiction
d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou
mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis
d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout
pays dans lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses
filiales est établie ou mène ses activités.
(les actes juridiques mentionnés aux points i, et ii. ci-dessus étant appelés ensemble « Lois sur le contrôle à
l'exportation »).
b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y mettre fin avec effet
immédiat dans le cas où :
i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la disposition de
l'Article 19 a) du Contrat ; ou
ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation et, par conséquent,
ESET estime raisonnablement que l'exécution continue de ses obligations en vertu de l'accord pourrait entraîner
ESET ou ses affiliés à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des Lois sur le contrôle
à l'exportation.
c) Rien dans le Contrat ne vise, et rien ne doit être interprété comme incitant ou obligeant l'une des parties à agir
ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir) d'une manière qui soit incompatible, pénalisée
ou interdite en vertu de toute loi sur le contrôle à l'exportation applicable.
20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être adressés à : ESET, spol. s r. o.,
Einsteinova 24, 85101 Bratislava, Slovak Republic, sans préjudice du droit d'ESET de Vous communiquer toute
289
modification du présent Contrat, des Politiques de confidentialité, de la Politique de fin de vie et de la
documentation conformément à l'article 22 du Contrat. ESET peut Vous envoyer des e-mails, des notifications
intégrés à l’application via le Logiciel ou publier la communication sur son site web. Vous acceptez de recevoir des
communications légales d'ESET sous forme électronique, y compris toute communication sur la modification des
Conditions, des Conditions particulières ou des Politiques de confidentialité, toute proposition/acceptation de
contrat ou invitation à traiter, avis ou autres communications légales. Ces communications électroniques sont
réputées avoir été reçues par écrit, sauf si les lois applicables exigent spécifiquement une autre forme de
communication.
21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à
celle-ci. L’Utilisateur Final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable
et la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent
pas. Vous acceptez expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur
ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction
pour de tels litiges ou conflits.
22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera pas
la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu
des conditions stipulées dans le présent Contrat. Le présent Contrat a été signé en anglais. Si une traduction du
Contrat est préparée pour des raisons de commodité ou pour toute autre raison, ou en cas de discordance entre
les versions linguistiques du présent Contrat, seule la version en langue anglaise fait foi.
ESET se réserve le droit d'apporter des modifications au Logiciel ainsi que de réviser les conditions du présent
Contrat, des Annexes, des Addendums, de la Politique de confidentialité, de la Politique de fin de vie et de la
Documentation ou toute partie de celle-ci à tout moment en mettant à jour le document approprié (i) pour
refléter les modifications apportées au Logiciel ou dans la façon dont ESET mène ses activités, (ii) pour des raisons
légales, réglementaires ou de sécurité, ou (iii) pour éviter tout abus ou dommage. Vous serez averti de toute
révision du Contrat par e-mail, par le biais d'une notification intégrée à l'application ou par d’autres moyens
électroniques. Si vous n'êtes pas d'accord avec les modifications proposées au Contrat, vous pouvez le résilier
conformément à l'article 10, dans les 30 jours suivant la réception d'une notification de la modification. À moins
que Vous ne résiliez le Contrat dans ce délai, les modifications proposées seront considérées comme acceptées et
prendront effet à Votre égard à la date à laquelle vous avez reçu une notification de la modification.
Cela constitue l'intégralité du Contrat entre le Fournisseur et vous en relation avec le Logiciel, et il remplace toute
représentation, discussion, entreprise, communication ou publicité antérieure en relation avec le Logiciel.
EULAID: EULA-PRODUCT-LG; 3537.0
Politique de confidentialité
La protection des données personnelles revêt une importance particulière pour ESET, spol. s r.o., dont le siège
social est établi au Einsteinova 24, 851 01 Bratislava, Slovak Republic, inscrite au registre du commerce administré
par le Tribunal de district de Bratislava I, Section Sro, Entrée No 3586/B, Numéro d'identification de l'entreprise :
31333532 en tant que Responsable du traitement des données ("ESET" ou « Nous"). Nous souhaitons nous
conformer à l'exigence de transparence telle qu'elle est légalement normalisée par le Règlement général sur la
protection des données de l'UE ("RGPD"). Pour atteindre cet objectif, nous publions la présente Politique de
confidentialité dans le seul but d'informer notre client ("Utilisateur final" ou "Vous"), en tant que personne
concernée, des sujets suivants relatifs à la protection des données personnelles :
Base juridique du traitement des données personnelles,
Partage des données et confidentialité,
290
Sécurité des données,
Vos Droits en tant que Personne concernée,
Traitement de Vos données personnelles
Coordonnées.
Traitement de Vos données personnelles
Les services ESET qui sont implémentés dans le produit sont fournis selon les termes du CLUF, mais certains
d'entre eux peuvent nécessiter une attention particulière. Nous souhaitons Vous donner plus de détails sur la
collecte de données liée à la fourniture de nos services. Nous proposons différents services qui sont décrits dans
le Contrat de Licence de l'utilisateur final et la documentation. Pour que tous ces services soient fonctionnels,
Nous devons collecter les informations suivantes :
Mise à jour et autres statistiques relatives aux informations concernant l'installation et votre ordinateur,
notamment la plate-forme sur laquelle notre produit est installé, et informations sur les opérations et
fonctionnalités de nos produits (système d'exploitation, informations matérielles, identifiants d'installation,
identifiants de licence, adresse IP, adresse MAC, paramètres de configuration du produit).
Hachages unidirectionnels liés aux infiltrations dans le cadre du système de réputation ESET LiveGrid® qui
améliore l'efficacité de nos solutions contre les logiciels malveillants en comparant les fichiers analysés à
une base de données d'éléments en liste blanche et liste noire dans le cloud.
Échantillons suspects et métadonnées génériques dans le cadre du système de commentaires ESET
LiveGrid® qui permet à ESET de réagir immédiatement face aux besoins des utilisateurs finaux et de rester
réactifs face aux dernières menaces. Nous dépendons de Vous pour l'envoi
d'infiltrations (échantillons potentiels de virus et d'autres programmes malveillants et suspects),
d'objets problématiques, potentiellement indésirables ou potentiellement dangereux (fichiers
exécutables), de messages électroniques que Vous avez signalés comme spam ou détectés par notre
produit ;
d'informations sur les appareils du réseau local, telles que le type, le fabricant, le modèle et/ou le
nom de l'appareil ;
d'informations concernant l'utilisation d'Internet, telles que l'adresse IP et des informations
géographiques, les paquets IP, les URL et les trames Ethernet ;
de fichiers de vidage sur incident et des informations qu'ils contiennent.
Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais cela s'avère parfois impossible. Des
données collectées accidentellement peuvent être incluses dans des logiciels malveillants (informations collectées
à votre insu ou sans votre consentement) ou dans des noms de fichier ou des URL. Nous ne souhaitons pas que
ces données fassent partie de nos systèmes ni qu'elles soient traitées dans le but déclaré dans la présente
Politique de confidentialité.
Des informations de licence, telles que l'identifiant de la licence, et des données personnelles comme le
nom, le prénom, l'adresse, l'adresse e-mail sont nécessaires pour la facturation, la vérification de
l'authenticité de la licence et la fourniture de nos services.
Des coordonnées et des données contenues dans vos demandes d'assistance sont requises pour la
fourniture du service d'assistance. Selon le canal que Vous choisissez pour nous contacter, Nous pouvons
collecter votre adresse e-mail, votre numéro de téléphone, des informations sur la licence, des détails sur
le produit et la description de votre demande d'assistance. Nous pouvons Vous demander de nous fournir
d'autres informations pour faciliter la fourniture du service d'assistance.
291
Partage des données et confidentialité
Nous ne partageons pas vos données avec des tiers. Cependant, ESET est une entreprise présente dans le monde
entier par le biais de sociétés affiliées et de partenaires du réseau de vente, de service et d'assistance ESET. Les
informations relatives aux licences, à la facturation et à l'assistance technique traitées par ESET peuvent être
transférées depuis et vers les sociétés affiliées ou les partenaires dans le but de respecter le Contrat de licence
pour l'utilisateur final (pour la fourniture de services ou l'assistance, par exemple).
ESET préfère traiter ses données dans l’Union européenne (EU). Toutefois, en fonction de votre localisation
(utilisation de nos produits et/ou services en dehors de l'UE) et/ou du service que vous choisissez, il peut être
nécessaire de transférer vos données vers un pays situé en dehors de l'UE. Nous utilisons par exemple des
services tiers dans le cadre du cloud computing. Dans ces cas, nous sélectionnons soigneusement nos fournisseurs
de services et garantissons un niveau approprié de protection des données par des mesures contractuelles,
techniques et organisationnelles. En règle générale, nous nous mettons d'accord sur les clauses contractuelles
types de l'UE et, si nécessaire, sur des dispositions contractuelles complémentaires.
Pour certains pays hors de l'UE, comme le Royaume-Uni et la Suisse, l'UE a déjà déterminé un niveau comparable
de protection des données. En raison du niveau comparable de protection des données, le transfert de données
vers ces pays ne nécessite aucune autorisation ou accord particulier.
Droits des personnes concernées
Les droits de chaque Utilisateur final sont importants et Nous aimerions vous informer que tous les Utilisateurs
finaux (de n'importe quel pays de l'UE ou hors de l'UE) ont les droits ci-après garantis chez ESET. Pour exercer les
droits de la personne concernée, vous pouvez nous contacter par le biais du formulaire d'assistance ou par e-mail
à l'adresse suivante : dpo@eset.sk. À des fins d'identification, nous vous demandons les informations suivantes :
Nom, adresse e-mail et - le cas échéant - clé de licence ou numéro de client et affiliation à la société. Veuillez vous
abstenir de nous envoyer d'autres données personnelles, telles que votre date de naissance. Nous tenons à
souligner que pour pouvoir traiter votre demande, ainsi qu'à des fins d'identification, nous traiterons vos données
personnelles.
Droit de retirer le consentement. Le droit de retirer le consentement est applicable en cas de traitement fondé
sur le consentement uniquement. Si Nous traitons vos données personnelles sur la base de votre consentement,
vous avez le droit de retirer ce consentement à tout moment sans donner de raisons. Le retrait de votre
consentement n'est effectif que pour l'avenir et n'affecte pas la légalité des données traitées avant le retrait.
Droit d'opposition. Le droit de s'opposer au traitement est applicable en cas de traitement fondé sur l'intérêt
légitime d'ESET ou d'un tiers. Si Nous traitons vos données personnelles pour protéger un intérêt légitime, Vous,
en tant que personne concernée, avez le droit de vous opposer à l'intérêt légitime nommé par nous et au
traitement de vos données personnelles à tout moment. Votre opposition n'a d'effet que pour l'avenir et
n'affecte pas la licéité des données traitées avant l'opposition. Si nous traitons vos données personnelles à des
fins de marketing direct, il n'est pas nécessaire de motiver votre objection. Il en est de même pour le profilage,
dans la mesure où il est lié au marketing direct. Dans tous les autres cas, nous vous demandons de nous informer
brièvement de vos plaintes contre l'intérêt légitime d'ESET à traiter vos données personnelles.
Veuillez noter que dans certains cas, malgré le retrait de votre consentement, nous avons le droit de traiter
ultérieurement vos données personnelles sur la base d'une autre base juridique, par exemple, pour l'exécution
d'un contrat.
Droit d'accès. En tant que personne concernée, vous avez le droit d'obtenir gratuitement et à tout moment des
informations sur vos données stockées par ESET.
292
Droit à la rectification. Si nous traitons par inadvertance des données personnelles incorrectes vous concernant,
vous avez le droit de les faire corriger.
Droit à l'effacement et droit à la restriction du traitement. En tant que personne concernée, vous avez le droit
de demander la suppression ou la restriction du traitement de vos données personnelles. Si nous traitons vos
données personnelles, par exemple avec votre consentement, que vous le retirez et qu'il n'existe pas d'autre base
juridique, par exemple un contrat, nous supprimons immédiatement vos données personnelles. Vos données
personnelles seront également supprimées dès qu'elles ne seront plus nécessaires aux fins énoncées à la fin de
notre période de conservation.
Si nous utilisons vos données personnelles dans le seul but de marketing direct et que vous avez révoqué votre
consentement ou que vous vous êtes opposé à l'intérêt légitime sous-jacent d'ESET, Nous limiterons le traitement
de vos données personnelles dans la mesure où nous inclurons vos coordonnées dans notre liste noire interne
afin d'éviter tout contact non sollicité. Dans le cas contraire, vos données personnelles seront supprimées.
Veuillez noter que Nous pouvons être tenus de conserver vos données jusqu'à l'expiration des obligations et
périodes de conservation émises par le législateur ou les autorités de contrôle. Les obligations et les périodes de
conservation peuvent également résulter de la législation slovaque. Par la suite, les données correspondantes
seront systématiquement supprimées.
Droit à la portabilité des données. Nous sommes heureux de vous fournir, en tant que personne concernée, les
données personnelles traitées par ESET au format xls.
Droit de porter plainte. En tant que personne concernée, Vous avez le droit de déposer une plainte auprès d'une
autorité de contrôle à tout moment. ESET est soumise à la réglementation des lois slovaques et est tenue de
respecter la législation en matière de protection des données de l'Union européenne. L'autorité de contrôle des
données compétente est l'Office pour la protection des données personnelles de la République slovaque, situé à
Hraničná 12, 82007 Bratislava 27, Slovak Republic.
Coordonnées
Si vous souhaitez exercer vos droits en tant que personne concernée ou si vous avez une question ou un doute,
envoyez-nous un message à l'adresse suivante :
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
Slovak Republic
dpo@eset.sk
293
">