Exchange et les logiciels antivirus

Traductions disponibles Traductions disponibles
Numéro d'article: 328841 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations vous expliquant comment abaisser les paramètres de sécurité ou comment désactiver les fonctions de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour contourner un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger votre système.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article présente les différents types de programmes d'analyse antivirus qui sont généralement utilisés avec Exchange 2000 Server. Il répertorie les avantages et inconvénients, ainsi que les techniques permettant de résoudre les problèmes en fonction des différents logiciels d'analyse. Cet article ne décrit pas les solutions de filtrage SMTP qui sont généralement installées sur un serveur réseau autre que l'ordinateur Exchange 2000 Server.

Logiciels d'analyse au niveau des fichiers

Les logiciels d'analyse au niveau des fichiers sont souvent utilisés et peuvent se révéler extrêmement problématiques lorsqu'ils sont utilisés avec Exchange 2000 Server. Ils peuvent « résider en mémoire » ou s'utiliser « à la demande » :
  • « Résidant en mémoire » fait référence à une partie du logiciel antivirus au niveau des fichiers qui est chargée en mémoire en permanence. Ce logiciel vérifie tous les fichiers qui sont utilisés sur le disque dur et dans la mémoire de l'ordinateur.
  • « À la demande » fait référence à une partie du logiciel antivirus au niveau des fichiers que vous pouvez configurer pour analyser les fichiers sur le disque dur, manuellement ou selon une planification. Notez que certaines versions des logiciels antivirus qui démarrent « à la demande » procèdent à une analyse automatique après la mise à jour des signatures de virus afin de vérifier que tous les fichiers ont été analysés avec les signatures les plus récentes.
Les problèmes suivants peuvent se produire lorsque vous utilisez des logiciels d'analyse au niveau des fichiers avec Exchange 2000 Server :
  • Les logiciels d'analyse au niveau des fichiers analysent un fichier lorsqu'il est utilisé ou selon un intervalle planifié, et peuvent verrouiller ou mettre en quarantaine un ficher journal ou de base de données Exchange alors que Exchange essaie de l'utiliser. Cela peut provoquer une panne grave dans Exchange 2000 Server et générer des erreurs -1018.
  • D'autres problèmes peuvent se produire si vous analysez un lecteur M avec un logiciel d'analyse au niveau des fichiers.

    Voici un exemple d'événement susceptible d'être consigné si le lecteur M: est analysé par un programme d'analyse au niveau des fichiers :

    Événement : ID 6 
    Source : Norton Antivirus 
    La description pour l'ID d'événement ( 6 ) dans la source ( Norton AntiVirus ) n'a pu être trouvée. L'ordinateur local n'a peut-être pas les informations de Registre nécessaires ou les fichiers DLL de messagerie pour afficher les messages provenant d'un ordinateur distant.  
    
    L'analyse n'est pas parvenue à ouvrir le fichier M:\NOM_ORG.COM\MBX\nom_utilisateur\Inbox\No Subject-15.EML

  • Les lecteurs d'analyse au niveau des fichiers ne protègent pas contre les virus de messagerie, tels que le virus « Melissa ».

    REMARQUE : le virus « Melissa » est un virus de macro Microsoft Word qui peut se propager seul par l'intermédiaire des messages électroniques. Il envoie des messages électroniques incorrects aux adresses qu'il trouve dans les carnets d'adresses personnels sur les clients de messagerie Microsoft Outlook. Des virus similaires peuvent provoquer la destruction de données.
Excluez les dossiers suivants des logiciels d'analyse au niveau des fichiers « à la demande » et « résidants en mémoire » :
  • Le lecteur M d'un serveur Exchange 2000.
  • Les fichiers journaux et de bases de données Exchange. Par défaut, ils se trouvent dans le dossier Exchsrvr\Mdbdata.
  • Les fichiers MTA Exchange dans le dossier Exchsrvr\Mtadata.
  • Les fichiers journaux supplémentaires, tels que le fichier Exchsrvr\nom_serveur.log.
  • Le dossier du serveur virtuel Exchsrvr\Mailroot.
  • Le dossier de travail destiné à stocker les fichiers temporaires de transmission utilisés pour la conversion des messages. Par défaut, ce dossier se trouve sous \Exchsrvr\MDBData, mais vous pouvez configurer son emplacement.
  • Le dossier temporaire utilisé conjointement avec des utilitaires de maintenance hors ligne tels que Eseutil.exe. Par défaut, ce dossier se trouve à l'emplacement à partir duquel vous exécutez les fichiers .exe, mais vous pouvez le configurer lorsque vous exécutez l'utilitaire.
  • Des fichiers SRS (Site Replication Service) situés dans le dossier Exchsrvr\Srsdata.
  • Des fichiers système Microsoft Internet Information Service (IIS) dans le dossier %SystemRoot%\System32\Inetsrv.

    REMARQUE : les dossiers Exchsrvr\address, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res et Exchsrvr\Schema peuvent généralement être ajoutés en toute sécurité à une analyse. Cependant, vous pouvez exclure tout le dossier Exchsrvr des logiciels d'analyse au niveau des fichiers « à la demande » et « résidants en mémoire »: nous vous recommandons vivement de désactiver temporairement tout logiciel d'analyse basé sur des fichiers lors des mises à niveau du système d'exploitation et de Exchange, notamment toute mise à niveau vers de nouvelles versions de Microsoft Exchange ou du système d'exploitation et toute application de correctifs et de Service Packs sur le système d'exploitation ou sur Exchange.
Pour plus d'informations sur le dossier de travail, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
822936 Le flux de messages vers la file d'attente de remise locale est très lent
Excluez les types de fichiers suivants des logiciels d'analyse au niveau de fichiers « à la demande » et « résidants en mémoire » :
  • .edb
  • .stm (sur Exchange 2000 Server)
  • .log
Excluez le dossier qui contient les fichiers de point de contrôle (.chk) des logiciels d'analyse « à la demande » et « résidants en mémoire ».

REMARQUE : même si vous déplacez les fichiers journaux et de base de données Exchange vers de nouveaux emplacements et que vous excluez ces dossiers, le fichier .chk peut toujours être analysé. Pour plus d'informations sur ce qui peut se produire si le fichier .chk est analysé, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
253111 Les événements d'erreur sont enregistrés lorsque l'accès en écriture est refusé au service de base de données Exchange Server sur ses propres fichiers .edb ou sur le fichier .chk.
176239 La base de données ne démarre pas. L'enregistrement circulaire a supprimé le fichier journal trop tôt

Logiciels d'analyse MAPI

La première génération d'antivirus qui incluait un agent Exchange reposait sur l'interface MAPI. Ces logiciels d'analyse effectuent une ouverture de session MAPI sur chaque boîte aux lettres, puis l'analysent à la recherche de virus connus.

Le logiciel d'analyse MAPI offre les avantages suivants sur le logiciel d'analyse par fichier :
  • Le logiciel MAPI recherche les virus de messagerie, tels que le virus « Melissa ».
  • Il n'interfère pas avec le journal Exchange ou les fichiers de base de données.
Le logiciel d'analyse MAPI présente les inconvénients suivants :
  • Il ne peut pas analyser un message électronique infecté avant son ouverture. Il n'empêche pas un utilisateur d'ouvrir un message électronique infecté s'il n'a pas au préalable détecté le message électronique infecté.
  • Le logiciel d'analyse MAPI ne peut pas analyser les messages sortants.
  • Le logiciel d'analyse MAPI ne reconnaît pas le filtre Stockage d'instance simple Exchange, de sorte qu'il peut analyser plusieurs fois un même message si celui-ci existe dans plusieurs boîtes aux lettres. Pour cette raison, ce logiciel peut prendre plus de temps pour effectuer l'analyse.
Le logiciel d'analyse MAPI pouvant détecter des virus de messagerie, il constitue une meilleure option qu'un logiciel d'analyse au niveau des fichiers. Cependant, de meilleures options décrites plus loin dans cet article sont disponibles.

Logiciels d'analyse VAPI, AVAPI ou VSAPI

L'interface VAPI (Virus Application Programming Interface ou Virus API) est également appelée interface AVAPI (Antivirus API) ou VSAPI (Virus Scanning API).

VAPI 1.0 a été introduit dans Exchange Server 5.5 Service Pack 3 (SP3) et utilisé jusqu'à Exchange 2000 Server. De nombreuses améliorations ont été apportées à VAPI 1.0 en vue d'accroître ses performances avec Exchange Server 5.5. Pour plus d'informations à ce sujet, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
248838 Correctifs disponibles pour la Banque d'informations post-SP3 de Exchange Server 5.5
Exchange 2000 Server Service Pack 1 (SP1) a introduit VAPI 2.0. VAPI 2.0 n'est pas pris en charge dans Exchange 5.5. VAPI 1.0 et VAPI 2.0 prennent tous deux en charge l'analyse à la demande.

Lorsque vous utilisez un logiciel d'analyse VAPI et qu'un client essaie d'ouvrir un message, une comparaison est effectuée afin de vérifier que le corps du message et sa pièce jointe ont été analysés par le fichier de signature de virus actuel. Si le fournisseur ou le fichier de signature actuel n'a pas analysé le contenu, le composant de message correspondant est soumis au fournisseur du logiciel antivirus pour analyse avant d'être remis au client. Le client peut utiliser un client MAPI conventionnel ou un client IP tel que POP3 (Post Office Protocol version 3), Microsoft Outlook Web Access (OWA), IMAP4 (Internet Message Access Protocol, Version 4rev1).

Dans VAPI 2.0, une seule file d'attente traite toutes les données du corps du message et de la pièce jointe. Les éléments qui sont soumis à cette file d'attente en tant qu'éléments « à la demande » le sont avec une priorité élevée. Cette file d'attente est désormais traitée par une suite de threads avec des éléments à priorité élevée toujours prioritaires. Le nombre de threads par défaut est 2 * 'nombre_de_processeurs' + 1. Plusieurs éléments peuvent ainsi être soumis en même temps au fournisseur. De même, les threads client ne sont plus liés aux valeurs du délai d'inactivité qui attendent que les éléments soient remis. Une fois les éléments analysés et marqués comme sûrs, le thread client est averti que l'élément est disponible. Par défaut, le thread client attend au maximum trois minutes d'être averti de la disponibilité des données requises avant une expiration du délai.

Une nouvelle caractéristique de VAPI 2.0 est l'analyse proactive des messages. Dans VAPI 1.0, les informations sur la pièce jointe d'un message étaient analysées uniquement si elle était ouverte. Dans VAPI 2.0, les éléments sont soumis à une file d'attente de banque d'informations commune tandis qu'ils sont soumis à la banque d'informations. Chacun de ces éléments reçoit une priorité faible dans la file d'attente, de sorte qu'ils n'interfèrent pas avec l'analyse des éléments à priorité élevée. Lorsque tous les éléments à priorité élevée ont été analysés, VAPI 2.0 commence à analyser les éléments à priorité faible. La priorité des éléments est mise à niveau de façon dynamique sur élevée si un client essaie d'utiliser l'élément tandis que ce dernier se trouve dans la file d'attente à priorité faible. 30 éléments maximum peuvent exister en même temps dans la file d'attente à priorité faible sur la base premier entré, premier sorti.

La dernière zone d'amélioration du processus d'analyse est l'analyse en arrière-plan. Dans VAPI 1.0, l'analyse en arrière-plan s'effectue par une passe unique sur la table de la pièce jointe et la soumission des pièces jointes qui n'ont pas été analysées par le fournisseur ou fichier de signature actuel directement dans la DLL antivirus. Chaque banque d'informations privée et publique reçoit un thread pour effectuer cette analyse en arrière-plan. Une fois que le thread a effectué une passe sur la table de la pièce jointe, celui-ci attend le redémarrage du processus de la banque d'informations avant de procéder à une autre passe. Dans VAPI 2.0, chaque MDB (base de données d'échange) continue de recevoir un thread pour conduire le processus d'analyse en arrière-plan. Cependant, celui-ci parcourt désormais la suite de dossiers qui compose la boîte aux lettres de chaque utilisateur. Lorsque des éléments qui n'ont pas été analysés sont détectés, ils sont soumis au fournisseur et le processus d'analyse se poursuit. Les fournisseurs de logiciels antivirus peuvent également forcer le démarrage d'une analyse en arrière-plan à l'aide d'un jeu de clés de Registre.

La caractéristique qui faisait le plus défaut à VAPI 1.0 était la capacité à fournir des informations détaillées sur le message afin de permettre aux administrateurs Exchange d'assurer le suivi de l'existence de virus, de déterminer de quelle façon ils sont parvenus à pénétrer dans l'organisation et d'identifier les utilisateurs qui en sont affectés. Cette capacité a été ajoutée avec VAPI 2.0 car l'analyse ne repose plus directement sur la table des pièces jointes.

Pour améliorer la résolution des problèmes liés à VAPI, Exchange 2000 Server SP1 implémente de nouveaux compteurs de l'Analyseur de performances VAPI que les administrateurs Exchange peuvent utiliser pour assurer le suivi des performances de l'API d'analyse antivirus. Ces compteurs donnent à l'administrateur la possibilité de déterminer la quantité d'informations à analyser et la vitesse d'analyse de ces informations. L'administrateur peut ainsi déterminer avec plus de précision l'échelle des serveurs.

La dernière fonctionnalité est la nouvelle journalisation des événements qui est spécifique à l'interface VAPI. Voici les nouveaux événements journalisés :
  • Chargement et déchargement des DLL du fournisseur.
  • Analyse réussie des éléments.
  • Les virus qui se trouvent dans la banque d'informations.
  • Comportement inattendu dans l'interface VAPI.
Vous pouvez déterminer si vous utilisez un logiciel d'analyse VAPI en consultant la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Cette clé de Registre n'existe pas si aucun logiciel d'analyse VAPI n'est installé.

Voici un exemple d'événement qui peut être consigné si le programme VSAPI analyse les fichiers par l'intermédiaire du chemin d'accès //./backofficestorage/ :

ID de l'événement : 2045 
Source : McAfee GroupShield 
La description pour l'ID d'événement (2045) dans la source (McAfee GroupShield) n'a pu être trouvée. L'ordinateur local ne dispose peut-être pas des informations de Registre ou des fichiers de la DLL des messages nécessaires pour afficher les messages à partir d'un ordinateur distant. 

Le logiciel d'analyse On-Demand 4 Hours Cycle n'est pas parvenu à analyser l'élément 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 objet_message.EML' avec l'erreur 80040e19.

Pour plus d'informations sur les problèmes qui peuvent se produire si vous analysez le lecteur M:, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
299046 Des éléments du calendrier disparaissent des dossiers des utilisateurs
300608 Un message d'erreur "C1041737" et d'ID d'événement 470 peut s'afficher quand vous essayez de monter des bases de données
307824 Vous ne pouvez pas installer le composant Notifications d'Exchange sur le lecteur M d'un serveur Exchange 2000
298924 Problèmes provoqués par une sauvegarde ou par une analyse du lecteur M Exchange 2000

Logiciels d'analyse ESE

Les logiciels d'analyse ESE, tels que certaines versions d'Antigen, utilisent une interface entre la banque d'informations et le moteur de stockage extensible (ESE) qui est prise en charge par Microsoft. Lorsque vous utilisez ce type de logiciel, vous courrez le risque d'endommager la base de données et de perdre des données en cas d'erreur dans l'implémentation du logiciel.


Au cours de l'installation, le logiciel d'analyse ESE modifie le service de la banque d'informations de Microsoft Exchange de sorte qu'il dépende du service spécifique. Cela permet de s'assurer que le service démarre avant le service de la banque d'informations de Microsoft Exchange. Au cours du processus d'installation, le service d'analyse vérifie la version de ses logiciels et de Exchange Server, ainsi que les versions de fichiers appropriées. Si une incompatibilité est détectée, le logiciel Antigen se désactive, permet à la banque d'informations de démarrer sans protection antivirus, puis avertit les administrateurs.


Lorsque le logiciel d'analyse ESE démarre, la version Microsoft du fichier Ese.dll est temporairement renommée Xese.dll, tandis que la version Antigen du fichier Ese.dll remplace le fichier d'origine. Une fois la version Antigen du fichier Ese.dll chargée, la version Microsoft est renommée Ese.dll et la banque d'informations de Microsoft Exchange Server est autorisée à terminer son processus de démarrage.


Les clients qui contactent les services de Support technique Microsoft peuvent être amenés à désactiver le service Antigen afin d'identifier les problèmes, mais les clients sont libres de réactiver le logiciel Antigen une fois la cause racine du problème correctement diagnostiquée.

Documentation complémentaire

Pour plus d'informations sur l'antivirus utilisé avec Exchange Server, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
285667 Présentation de l'API 2.0 d'analyse des virus dans Exchange 2000 Server Service Pack 1
298924 Problèmes provoqués par une sauvegarde ou par une analyse du lecteur M Exchange 2000
245822 Recommandations pour dépanner un ordinateur Exchange Server sur lequel un logiciel antivirus est installé
253111 Les événements d'erreur sont enregistrés lorsque l'accès en écriture est refusé au service de base de données Exchange Server sur ses propres fichiers .edb ou sur le fichier .chk.
176239 La base de données ne démarre pas. L'enregistrement circulaire a supprimé le fichier journal trop tôt
Pour obtenir les informations les plus récentes sur les alertes de sécurité et virales, ainsi que sur les fournisseurs de logiciels antivirus, utilisez les ressources suivantes :

Microsoft

http://www.microsoft.com/fr/fr/default.aspx

ICSA

ICSA, une filiale GartnerGroup, fournit des services d'assurance de la sécurité Internet.
http://www.icsa.net (en anglais)

Centre de coordination CERT

Le Centre de coordination CERT fait partie du programme Survivable Systems Initiative du Software Engineering Institute, un centre de recherche et de développement fédéral financé par le Ministère américain de la Défense et exploité par Carnegie Mellon University (en anglais).
http://www.cert.org

CIAC (Computer Incident Advisory Capability)

Le CIAC fournit une assistance technique et des informations téléphoniques aux sites du Département de l'Énergie (DOE) qui rencontrent des problèmes de sécurité informatique (en anglais).
http://www.ciac.org/ciac/index.html

Network Associates

http://www.mcafee.com/fr/

Trend Micro

http://fr.trendmicro-europe.com/

Computer Associates

http://www3.ca.com/securityadvisor/virusinfo/default.aspx

Norton AntiVirus (Symantec)

http://shop.symantecstore.com/store/symnahho/en_US/DisplayHomePage/pgm.5937500/ThemeID.106300
Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.
Les produits tiers mentionnés dans le présent article proviennent de sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Propriétés

Numéro d'article: 328841 - Dernière mise à jour: lundi 23 avril 2007 - Version: 12.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange 2000 Server Standard Edition
Mots-clés : 
kb3rdparty kbenv kbinfo KB328841
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com