Exchange y el software antivirus

Seleccione idioma Seleccione idioma
Id. de artículo: 328841 - Ver los productos a los que se aplica este artículo
Importante: este artículo contiene información que le muestra cómo reducir la configuración de seguridad o cómo desactivar las opciones de seguridad en un equipo. Puede realizar estos cambios para evitar un problema concreto. Pero antes de realizarlos, recomendamos que evalúe los riesgos asociados a esta solución en su entorno particular. Si decide implementar esta forma de evitar el problema, tome las medidas adicionales oportunas para ayudar a proteger su sistema.
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se ofrece una introducción a los diferentes tipos de programas de detección de virus que se suelen usar con Exchange 2000 Server. En el artículo se enumeran las ventajas e inconvenientes, así como diferentes consideraciones en relación a la solución de problemas, para los distintos tipos de detectores. Este artículo no describe las soluciones de filtrado SMTP que se suelen instalar en un servidor de red independiente del equipo basado en Exchange 2000 Server.

Detectores del nivel de archivo

Los detectores del nivel de archivo se usan con frecuencia y pueden ser los más problemáticos cuando se usan con Exchange 2000 Server. Estos detectores pueden ser "residentes en memoria" o de tipo "a petición":
  • "Residente en memoria" hace referencia a un software antivirus de nivel de archivos que está cargado en memoria siempre. Examina todos los archivos que se usan en el disco duro y en la memoria del equipo.
  • "A petición" hace referencia a una parte de software antivirus de nivel de archivos que se puede configurar para examinar los archivos del disco duro, ya sea de forma manual o de acuerdo con una programación. Tenga en cuenta que hay versiones de software antivirus que inician el examen "a petición" automáticamente cuando las firmas de virus se han actualizado, con el fin de garantizar que las firmas más recientes se han buscado en todos los archivos.
Cuando se usan detectores antivirus de nivel de archivos con Exchange 2000 Server, se pueden producir los problemas siguientes:
  • Los detectores de nivel de archivos examinan un archivo cuando se usa o en un intervalo programado, y pueden bloquear o poner en cuarentena un archivo de registro o de base de datos de Exchange mientras éste intenta usarlo. Esto puede ocasionar un problema en el servidor en Exchange 2000 Server y también puede generar errores -1018.
  • Se pueden producir más problemas si examina la unidad M: con software de detección antivirus en el nivel de archivos.

    Lo siguiente es un ejemplo de suceso que se puede registrar si la unidad M: se examina con un programa detector del nivel de archivos:

    Suceso: Id. 6 
    Origen: Norton AntiVirus  
    No se encuentra la descripción del Id. de suceso ( 6 ) en el origen (Nortin AntiVirus). El equipo local puede no tener la información del Registro necesaria o los archivos DLL de mensajes para mostrar los mensajes desde un equipo remoto.  
    
    La exploración no pudo abrir el archivo M:\NOMBRE_ORG.COM\MBX\nombreDeUsuario\Inbox\No Subject-15.EML

  • Los detectores del nivel de archivos no proporcionan protección contra virus de correo electrónico como "Melissa".

    NOTA: el virus "Melissa" es un virus de macro de Microsoft Word que se puede difundir a través de los mensajes de correo electrónico. El virus envía mensajes de correo electrónico inapropiados a las direcciones que encuentra en las libretas personales de los clientes de correo de Microsoft Outlook. Virus similares pueden ocasionar la destrucción de los datos.
Excluya las carpetas siguientes tanto de los detectores de virus de nivel de archivos "a petición" como de los "residentes en memoria":
  • La unidad M: de Exchange 2000 Server.
  • Archivos de registro y de bases de datos de Exchange. De forma predeterminada, se encuentran en la carpeta Exchsrvr\Mdbdata.
  • Archivos del MTA de Exchange de la carpeta Exchsrvr\Mtadata.
  • Archivos de registro adicionales como Exchsrvr\servidor.log.
  • La carpeta de servidor virtual Exchsrvr\Mailroot.
  • La carpeta de trabajo que se usa para almacenar archivos temporales de transferencia utilizados en la conversión de mensajes. De forma predeterminada, esta carpeta se encuentra en \Exchsrvr\MDBData, pero puede configurar la ubicación.
  • La carpeta temporal que se usa conjuntamente con las utilidades de mantenimiento sin conexión como Eseutil.exe. De forma predeterminada, esta carpeta es la ubicación desde donde se ejecuta el archivo .exe pero puede configurar esta ubicación al ejecutar la utilidad.
  • Archivos del Servicio de replicación de sitios (SRS, Site Replication Service) en la carpeta Exchsrvr\Srsdata.
  • Archivos del sistema del Servicio de Microsoft Internet Information Server (IIS) en la carpeta %SystemRoot%\System32\Inetsrv.

    NOTA: las carpetas Exchsrvr\address, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res y Exchsrvr\Schema generalmente se pueden incluir en una exploración sin riesgo. Sin embargo, puede ser conveniente excluir toda la carpeta Exchsrvr tanto en el caso de ejecutar detectores de nivel de archivos "a petición" como "residentes en memoria". Recomendamos encarecidamente que deshabilite temporalmente el software de detección de virus basado en archivos durante las actualizaciones del sistema operativo y Exchange; esto incluye la actualización a las versiones nuevas de Exchange o del sistema operativo, y durante la aplicación de cualquiera de sus correcciones o Service Packs.
Para obtener más información acerca de la carpeta de trabajo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
822936 El flujo de mensajes a la cola de entrega local es muy lento
Excluya los tipos de archivo siguientes tanto de los detectores de nivel de archivos "a petición" como de los "residentes en memoria":
  • .edb
  • .stm (en Exchange 2000 Server)
  • .log
Excluya la carpeta que contiene los archivos de controles (.chk) de los detectores de virus "residentes en memoria" y "a petición".

NOTA: Incluso aunque mueva las bases de datos y los archivos de registro de Exchange a otras ubicaciones y excluya dichas carpetas, el archivo .chk aún se puede examinar. Para obtener más información sobre lo que puede ocurrir si se examina el archivo .chk, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
253111 Se registran sucesos de error cuando se deniega al servicio de base de datos de Exchange Server el acceso de escritura a sus propios archivos .edb o al archivo .chk
176239 La base de datos no se inicia porque el registro circular eliminó demasiado pronto el archivo de registro

Detectores MAPI

La primera generación de detectores antivirus que incluían un agente Exchange estaban basados en MAPI. Estos detectores realizan un inicio de sesión MAPI en cada buzón y, después, lo examinan para detectar virus conocidos.

El detector MAPI tiene las ventajas siguientes sobre el detector basado en archivos:
  • El detector MAPI puede buscar virus de correo electrónico como "Melissa".
  • No interfiere con los archivos de registro o de base de datos de Exchange.
El detector MAPI tiene las desventajas siguientes:
  • Puede no detectar un mensaje de correo electrónico infectado antes de que un usuario lo abra. Si el detector MAPi no detecta que un mensaje de correo electrónico está infectado, no impide que un usuario lo abra.
  • No puede examinar los mensajes salientes.
  • No reconoce el filtro Almacenamiento de instancia única de Exchange, de modo que puede explorar un mensaje varias veces si aparece en varios buzones. Como consecuencia, puede tardar más en llevar a cabo la detección de virus.
Puesto que el detector MAPI puede detectar virus de correo electrónico, es más aconsejable que el detector de nivel de archivos. Sin embargo, hay disponibles otras opciones mejores, que se describen posteriormente en este artículo.

Detectores VAPI, AVAPI o VSAPI

La Interfaz de programación de aplicaciones de virus (VAPI, Virus API) también se conoce como Antivirus API (AVAPI) o Virus Scanning API (VSAPI).

VAPI 1.0 se introdujo en Exchange Server 5.5 Service Pack 3 (SP3) y se usó hasta la aparición de Exchange 2000 Server. Se han realizado numerosas mejoras en VAPI 1.0 para aumentar el rendimiento con Exchange Server 5.5. Para obtener información acerca de este tema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
248838 Revisiones disponibles para el almacén de información posterior al Service Pack 3 de Exchange Server 5.5
Exchange 2000 Server Service Pack 1 (SP1) introdujo VAPI 2.0. VAPI 2.0 no se admite en Exchange 5.5. VAPI 1.0 y VAPI 2.0 permiten ambas la detección de virus a petición.

Cuando utiliza un detector VAPI y un cliente intenta abrir un mensaje, se realiza una comparación para garantizar que el cuerpo del mensaje y el archivo adjunto se han examinado en busca del archivo de firma de virus actual. Si el proveedor actual o el archivo de firma no han examinado el contenido, se envía el componente de mensaje correspondiente al proveedor de software antivirus para realizar el examen en busca de virus antes de enviar el componente de mensaje al cliente. El cliente puede usar un cliente MAPI convencional o un cliente basado en un protocolo Internet como el Protocolo de oficina de correos versión 3 (POP3, Post Office Protocol version 3), Microsoft Outlook Web Access (OWA) o el Protocolo de acceso a mensajes de Internet versión 4rev1 (IMAP4, Message Access Protocol, Version 4rev1).

En VAPI 2.0, una sola cola procesa tanto el cuerpo del mensaje como los archivos adjuntos. Los elementos que se envían a esta cola como elementos "a petición" se envían como de alta prioridad. Esta cola es atendida ahora por una serie de subprocesos con elementos de prioridad alta que siempre son prioritarios. El número predeterminado de subprocesos es 2 * 'númeroDeProcesadores' + 1. Esto posibilita que se envíen varios elementos simultáneamente al proveedor. Además, los subprocesos del cliente ya no están ligados a valores de "tiempo de espera" para esperar a que los elementos se envían. Una vez que los elementos se han examinado en busca de virus y se han marcado como seguros, se notifica al subproceso del cliente que el elemento está disponible. De forma predeterminada, el subproceso del cliente espera hasta tres minutos mientras se le notifica la disponibilidad de los datos solicitados antes de que se supere el tiempo de espera.

Una característica más reciente de VAPI 2.0 es el examen proactivo en busca de virus de los mensajes. En VAPI 1.0, la información de los archivos adjuntos a los mensajes sólo se examinaba cuando se utilizaba. En VAPI 2.0, los elementos se envían a una cola de almacén de información común a medida que son enviados al almacén de información. Cada uno de estos elementos recibe una prioridad baja en la cola, de modo que no interfieren en el examen de los que tienen la prioridad más alta. Cuando todos los elementos con prioridad alta se han examinado, VAPI 2.0 comienza a examinar los de menor prioridad. La prioridad de los elementos se actualiza dinámicamente para aumentarla si un cliente intenta usar el elemento mientras se encuentra en la cola de prioridad baja. En la cola de prioridad baja puede haber hasta 30 elementos a la vez y su funcionamiento es de tipo "el primero en entrar es el primero en salir".

La última área de mejora en el proceso de detección de virus es la detección en segundo plano. En VAPI 1.0, para llevar a cabo la detección de virus en segundo plano se realiza una única pasada en la tabla de archivos adjuntos y se envían directamente a la DLL antivirus aquéllos que no hayan sido examinados por el proveedor o cuyo archivo de firma no se haya comprobado. Cada uno de los almacenes de información privada y pública recibe un subproceso para realizar esta detección en segundo plano y, una vez que el subproceso completa un paso de la tabla de archivos adjuntos, el subproceso espera a que se reinicie al proceso del almacén de información antes de emprender otro paso. En VAPI 2.0, cada Base de datos de mensajería (MDB, Messaging Database) sigue recibiendo un subproceso para llevar a cabo el proceso de detección en segundo plano. Sin embargo, ahora el proceso de detección de virus en segundo plano explora la serie de carpetas que conforman el buzón de cada usuario. A medida que se encuentran elementos que no han sido examinados, son enviados al proveedor y el proceso de detección de virus continúa. Los proveedores de software antivirus pueden obligar también a que se inicie una detección en segundo mediante una serie de claves del Registro.

La característica cuya inclusión en VAPI 1.0 se solicitó más es la capacidad de proporcionar detalles de los mensajes, de modo que los administradores de Exchange puedan realizar el seguimiento de la existencia de virus, determinar cómo han penetrado en una organización y determinar qué usuarios están afectados. Esta capacidad ha sido agregada con VAPI 2.0 porque la detección ya no se basa directamente en la tabla de archivos adjuntos.

Para mejorar la solución de problemas de VAPI, Exchange 2000 Server SP1 implementa nuevos contadores del monitor de rendimiento de VAPI que los administradores de Exchange pueden usar para realizar el seguimiento del rendimiento de la API de detección de virus. Estos contadores ofrecen a los administradores la capacidad de determinar cuánta información se está examinando y la velocidad a la que se examina. Esto ayuda al administrador a escalar los servidores de forma más precisa.

Las última característica es el nuevo registro de sucesos que es específico de VAPI. Los nuevos sucesos que se registran incluyen :
  • Carga y descarga de las DLL de los proveedores.
  • Detección correcta de los elementos.
  • Virus que se encuentran en el almacén de información.
  • Comportamiento inesperado de la VAPI.
Puede determinar si está utilizando un detector VAPI si examina la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Esta clave del Registro no existe si no hay instalado un detector VAPI.

Lo siguiente es un ejemplo de suceso que se pudo registrar si el programa VSAPI examina los archivos a través de la ruta de acceso //./backofficestorage/:

Id. de suceso: 2045 
Origen: McAfee GroupShield 
No se encuentra la descripción del Id. de suceso ( 2045 ) en el origen ( McAfee GroupShield ). El equipo local puede no tener la información del Registro necesaria o los archivos DLL de mensajes para mostrar los mensajes desde un equipo remoto. 

El detector de ciclo de 4 horas a petición no pudo examinar el elemento 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject.EML' y mostró el error 80040e19.

Para obtener más información sobre problemas que pueden aparecer si examina la unidad M:, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
299046 Los elementos del calendario desaparecen de las carpetas de los usuarios
300608 Es posible que aparezcan el error "C1041737" y el Id. de suceso 470 al intentar montar una base de datos
307824 No es posible instalar el componente de notificaciones de Exchange en la unidad M de un servidor Exchange 2000 Server
298924 Problemas debidos a una copia de seguridad o a una exploración de la unidad M de Exchange 2000

Detectores basados en ESE

Los detectores basados en ESE, como algunas versiones de Antigen, usan una interfaz entre el almacén de información y el Motor de almacenamiento extensible (ESE) compatible con Microsoft. Cuando utiliza este tipo de software, corre el riesgo de dañar la base de datos y perder los datos si hay errores en la implementación del software.


Durante la instalación, el detector basado en ESE cambia el servicio Almacén de información de Exchange Server de forma que sea dependiente del servicio específico. Esto asegura que el servicio se inicia antes de que lo haga el servicio Almacén de información de Exchange Server. Durante el proceso de inicio, el servicio del detector de virus comprueba que las versiones del software, de Exchange Server y las de los archivos son las apropiadas. Si se encuentra alguna incompatibilidad, el software de Antigen se deshabilita así mismo, permite que el almacén de información se inicie sin protección antivirus y lo notifica a los administradores.


Cuando el detector de virus basado en ESE se inicia correctamente, la versión de Microsoft del archivo Ese.dll cambia su nombre temporalmente por Xese.dll y la versión de Antigen del archivo Ese.dll reemplaza al archivo original. Una vez que se carga la versión de Antigen del archivo Ese.dll, la versión de Microsoft vuelve a cambiar su nombre a Ese.dll y el almacén de información de Exchange Server puede completar su proceso de inicio.


A los clientes que se pongan en contacto con los Servicios de soporte técnico de Microsoft se les puede pedir que deshabiliten el servicio Antigen para ayudar a identificar los problemas, pero los clientes pueden habilitarlo de nuevo una vez que se diagnostique la causa del problema.

Lectura adicional

Para obtener más información sobre software de detección de virus que se utiliza con Exchange Server, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
285667 Descripción de la API 2.0 de detección de virus en el Service Pack 1 de Exchange 2000 Server
298924 Problemas debidos a una copia de seguridad o a una exploración de la unidad M de Exchange 2000
245822 Recomendaciones para solucionar problemas de un equipo con Exchange Server que tiene software antivirus instalado
253111 Se registran sucesos de error cuando se deniega al servicio de base de datos de Exchange Server el acceso de escritura a sus propios archivos .edb o al archivo .chk
176239 La base de datos no se inicia porque el registro circular eliminó demasiado pronto el archivo de registro
Para obtener la información más reciente acerca de las alertas de virus y seguridad, y de proveedores de software de protección antivirus, use los recursos siguientes:

Microsoft

http://www.microsoft.com/spain/

ICSA

ICSA, una filial de GartnerGroup, proporciona servicios de seguridad en Internet.
http://www.icsa.net

Centro de coordinación de CERT

El Centro de coordinación de CERT forma parte de la iniciativa Survivable Systems de Software Engineering Institute, un centro de investigación y desarrollo que está patrocinado por el Departamento estadounidense de defensa y dirigido por la Universidad Carnegie Mellon.
http://www.cert.org

Computer Incident Advisory Capability

Computer Incident Advisory Capability proporciona asistencia técnica e información telefónica a los sitios del Departamento de energía (DOE) que experimentan incidentes de seguridad en los equipos.
http://www.ciac.org

Network Associates

http://www.mcafee.com/es/

Trend Micro

http://es.trendmicro-europe.com/

Computer Associates

http://ca.com/virusinfo

Norton AntiVirus (Symantec)

http://www.symantec.com/region/es/
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.
Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, con respecto al rendimiento o la confiabilidad de estos productos.

Propiedades

Id. de artículo: 328841 - Última revisión: jueves, 26 de abril de 2007 - Versión: 12.1
La información de este artículo se refiere a:
  • Microsoft Exchange 2000 Server Standard Edition
Palabras clave: 
kb3rdparty kbenv kbinfo KB328841

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com