Exchange and antivirus software

Traduzione articoli Traduzione articoli
Identificativo articolo: 328841 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni che illustra come ridurre le impostazioni di protezione o su come disattivare le funzionalitÓ di protezione in un computer. ╚ possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, si consiglia di valutare i rischi associati all'implementazione di questa soluzione alternativa in un ambiente particolare. Se si sceglie di implementare questa soluzione, adottare ogni ulteriore procedura per proteggere il sistema in uso.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene fornita una panoramica dei diversi tipi di scansione antivirus programmi vengono in genere utilizzati con Exchange 2000 Server. L'articolo sono elencati i vantaggi e svantaggi e considerazioni sulla risoluzione dei problemi per i diversi tipi di scanner. In questo articolo non viene fornita alcuna spiegazione soluzioni che vengono in genere installati su un server di rete diverso dal computer basato su Exchange 2000 Server il filtro SMTP.

Scanner a livello di file

Scanner a livello di file vengono utilizzati di frequente e potrebbe essere pi¨ problematica per l'utilizzo con Exchange 2000 Server. Gli scanner a livello di file potrebbero essere "Memoria residente"o"a richiesta":
  • "Residente in memoria" si riferisce a una parte di software antivirus a livello di file che viene caricato in memoria in qualsiasi momento. Controlla tutti i file in uso nel disco rigido e memoria del computer.
  • "On-demand" refers to a part of file-level antivirus software that you can configure to scan files on the hard disk, either manually or according to a schedule. Note that there are versions of antivirus software that start the "on-demand" scan automatically after virus signatures have been updated to make sure that all files have been scanned with the latest signatures.
Quando si utilizza scansione antivirus a livello di file con Microsoft Exchange Server 2007, Microsoft Exchange Server 2003 o Exchange 2000 Server, si verificherÓ quanto riportato di seguito:
  • Scanner antivirus a livello di file di analisi di un file quando viene utilizzato o a intervalli pianificati. L'analisi del file, un file sia bloccato quando Exchange Server tenta di accedere al file mentre viene analizzato. Ci˛ causa un errore di archivio informazioni di Exchange Server bloccare il file. Infine, in questo modo il file sia danneggiato o inutilizzabile. Tutti i file dinamici utilizzati da Exchange Server devono essere esentati dall'analisi a livello di file. L'elenco dei principali dei file che devono essere esentati sono tutti i file con estensione edb, file con estensione log, file con estensione chk e file STM. ╚ consigliabile che tutti i file cartella gerarchia contenente utilizzate dall'archivio informazioni Microsoft esentati dall'analisi a livello di file.
  • Ulteriori problemi possono verificarsi se si esegue l'analisi dell'unitÓ M con il software di analisi a livello di file.

    Di seguito Ŕ riportato un esempio di un evento che potrebbe venire registrato se l'unitÓ M: viene analizzato dal programma di analisi a livello di file:
    Event: ID 6 
    Source: Norton Antivirus 
    The description for Event ID ( 6 ) in Source ( Norton AntiVirus ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote ccomputer.
    
    Scan could not open file M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML
  • Gli scanner a livello di file non forniscono la protezione contro i virus della posta elettronica, ad esempio il virus "Melissa".

    Nota: il virus "Melissa" Ŕ un virus macro di Microsoft Word pu˛ propagare se stesso tramite messaggi di posta elettronica. Il virus invia messaggi di posta elettronica non appropriati per gli indirizzi che si trova in rubriche personali sui client di posta di Microsoft Outlook. Virus simile pu˛ causare la distruzione di dati.
Escludere le cartelle riportate di seguito da "su richiesta" e "memoria residente" scanner a livello di file:
  • UnitÓ di Exchange 2000 Server M.
  • Database di Exchange e i file di registro. Per impostazione predefinita, questi si trovano nella cartella Exchsrvr\Mdbdata.
  • MTA di Exchange i file nella cartella Exchsrvr\Mtadata.
  • File di registro aggiuntivi, ad esempio il file di Exchsrvr\ server_name. log.
  • La cartella del server virtuale Exchsrvr\mailroot.
  • La cartella di lavoro viene utilizzata per memorizzare i file temporanei utilizzati per la conversione dei messaggi di flusso. Per impostazione predefinita, questa cartella si trova in \Exchsrvr\MDBData, ma Ŕ possibile configurare la posizione.
  • La cartella temporanea viene utilizzata in combinazione con utilitÓ di manutenzione non in linea come Eseutil.exe. Per impostazione predefinita, questa cartella Ŕ la posizione in cui viene eseguito il file exe da, ma Ŕ possibile configurare in cui Ŕ stato eseguito il file da quando si esegue l'utilitÓ.
  • File del sito di servizio di replica (SRS) nella cartella Exchsrvr\Srsdata.
  • File di sistema di Internet Information Service (IIS) nella cartella % SystemRoot%\System32\Inetsrv.

    Nota: Exchsrvr\address The, Exchsrvr\Bin, Exchsrvr\Exchweb, Exchsrvr\Res e le cartelle di Exchsrvr\Schema sono in genere sicure da includere in un'analisi. Tuttavia, Ŕ possibile che desideri escludere l'intera cartella Exchsrvr da "su richiesta" e "memoria residente" scanner a livello di file. ╚ consigliabile disattivare temporaneamente di software antivirus basato su file durante il sistema operativo e gli aggiornamenti di Exchange; Ci˛ include l'aggiornamento alle nuove versioni di Exchange o il sistema operativo e applicando le correzioni di Exchange o del sistema operativo o service pack.
Per ulteriori informazioni sulla cartella di lavoro, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
822936Flusso dei messaggi alla coda di recapito locale Ŕ molto lento
Escludere i seguenti tipi di file da "su richiesta" e "memoria residente" scanner a livello di file:
  • file edb
  • stm (in Exchange 2000 Server)
  • .log
Escludere la cartella che contiene i file di punto di arresto (chk) da "memoria residente" e "su richiesta" scanner.

Nota: anche se si spostare i database di Exchange e i file di registro in nuove posizioni ed escludere tali cartelle, file con estensione chk pu˛ ancora eseguire la scansione. Per ulteriori informazioni su ci˛ che pu˛ verificarsi se viene eseguita una scansione del file con estensione chk, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
253111Vengono registrati gli eventi di errore quando il servizio di database di Exchange Server viene negato l'accesso in scrittura ai propri file edb o al file con estensione chk
176239Database non viene avviato; la registrazione circolare file di registro eliminato troppo presto

Scanner MAPI

La prima generazione di programmi antivirus che Ŕ incluso un agente di Exchange sono stati basato su MAPI. Questi scanner eseguono un accesso MAPI per ciascuna cassetta postale e quindi effettuarne la scansione per rilevare eventuali virus noti.

Lo scanner MAPI ha i seguenti vantaggi rispetto dello scanner basate su file:
  • Scanner MAPI pu˛ effettuare la ricerca di virus di posta elettronica, ad esempio il virus "Melissa".
  • Lo scanner MAPI non interferisca con i file di registro o database di Exchange.
Lo scanner MAPI presenta i seguenti svantaggi:
  • Lo scanner MAPI non pu˛ eseguire la scansione un messaggio di posta elettronica infetto prima di un utente apre il messaggio di posta elettronica. Lo scanner MAPI non impedisce che un utente apre un messaggio di posta elettronica infetti se lo scanner non rileva innanzitutto il messaggio di posta elettronica infetti.
  • Lo scanner MAPI non Ŕ possibile analizzare i messaggi in uscita.
  • Lo scanner MAPI non riconosce il filtro di archiviazione istanza singola Exchange, in modo che lo scanner potrebbe analizzare un singolo messaggio pi¨ volte se esiste lo stesso messaggio in pi¨ cassette postali. Di conseguenza, il MAPI scanner potrebbe richiedere pi¨ tempo per l'esecuzione della scansione.
PerchÚ lo scanner MAPI Ŕ in grado di rilevare i virus della posta elettronica, Ŕ un'opzione migliore rispetto a uno scanner a livello di file. Tuttavia, sono disponibili opzioni migliori e descritti pi¨ avanti in questo articolo.

VAPI, AVAPI o VSAPI scanner

Virus Application Programming Interface, o VAPI (virus API) Ŕ anche definita come AVAPI (antivirus API) o VSAPI (Virus Scanning API).

VAPI 1.0 Ŕ stato introdotto in Exchange Server 5.5 Service Pack 3 (SP3) ed Ŕ stato utilizzato fino a Exchange 2000 Server. Molti miglioramenti sono stati apportati a VAPI 1.0 per migliorare le prestazioni con Exchange Server 5.5. Per ulteriori informazioni su questo argomento, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
248838Archivio informazioni di Exchange Server 5.5 post-Service Pack 3 consente di correggere disponibili
Exchange 2000 Server Service Pack 1 (SP1) ha introdotto VAPI 2.0. VAPI 2.0 non Ŕ supportato in Exchange 5.5. VAPI 1.0 e 2.0 VAPI supporta la scansione su richiesta.

Quando si utilizza un VAPI scanner e un client tenta di aprire un messaggio, viene eseguito un confronto per assicurarsi che il corpo del messaggio e dell'allegato sono stati analizzati mediante il file della firma del virus corrente. Se il file corrente per il fornitore o la firma non Ŕ analizzato il contenuto, il componente corrispondente del messaggio viene inviato al fornitore di software antivirus per la digitalizzazione prima del rilascio di tale componente messaggio al client. Il client pu˛ essere utilizzando un client MAPI convenzionale o Internet un client basato sul protocollo, ad esempio Post Office Protocol versione 3 (POP3), Microsoft Outlook Web Access (OWA), Internet Message Access Protocol versione 4rev1 (IMAP4).

In 2.0 VAPI una singola coda elabora tutti i dati del corpo e gli allegati dei messaggi. Elementi che vengono inviati alla coda di elementi "su richiesta" vengono inviate come elementi con prioritÓ alta. Questa coda viene ora servita da una serie di thread con prioritÓ alta elementi richiede sempre la precedenza. Numero di thread predefinito Ŕ 2 * 'number_of_processors' + 1. In questo modo pi¨ elementi contemporaneamente da inviare al fornitore. Inoltre, thread client non Ŕ pi¨ sono legati a valori di "timeout" sono in attesa per gli elementi che verranno rilasciati. Dopo avere analizzati e contrassegnati come sicuri gli elementi, il thread del client viene notificato che la voce Ŕ disponibile. Per impostazione predefinita, il thread client attende fino a tre minuti per ricevere una notifica della disponibilitÓ dei dati richiesti prima si verifica un timeout.

Una funzionalitÓ pi¨ recente di VAPI 2.0 Ŕ basato su proattiva scansione dei messaggi. In VAPI 1.0, le informazioni relative all'allegato messaggio Ŕ state analizzate solo perchÚ Ŕ stato utilizzato. In VAPI 2.0, gli elementi vengono inviati a una coda di archivio di informazioni comuni come inviati all'archivio informazioni. Ognuno di questi elementi riceve una prioritÓ bassa nella coda, in modo che questi elementi non interferiscano con la digitalizzazione di elementi a prioritÓ alta. Quando tutti gli elementi a prioritÓ alta sono stati analizzati, VAPI 2.0 inizia a eseguire la scansione a bassa prioritÓ elementi. La prioritÓ degli elementi viene aggiornata in modo dinamico a prioritÓ alta se un client tenta di utilizzare l'elemento, mentre l'elemento Ŕ in coda con prioritÓ bassa. Un massimo di 30 elementi possono essere presenti contemporaneamente nella coda di bassa prioritÓ, determinata su first in, innanzitutto out base.

L'ultima area di miglioramento nel processo di digitalizzazione Ŕ analisi in background. In 1.0 VAPI analisi in background viene condotta apportando un unico passaggio sulla tabella degli allegati e invio di allegati che non sono stati analizzati dal file di firma o il fornitore corrente direttamente alla DLL antivirus. Ciascuno degli archivi informazioni privati e pubblici ricevono un thread per eseguire questa analisi in background e dopo che il thread ha completato un passaggio della tabella allegato, il thread attende un riavvio del processo Archivio informazioni di prima che esso esegue un altro passaggio. In 2.0 VAPI ogni database di MESSAGGISTICA riceve ancora un thread per eseguire il processo di analisi in background. Tuttavia, ora il processo di analisi in background passa la serie di cartelle che compongono la cassetta postale di ogni utente. Come vengono rilevati elementi non sono stati analizzati, inviati al fornitore e continua il processo di scansione. I produttori di software antivirus potrebbero inoltre imporre un'analisi in background per avviare per mezzo di un set di chiavi del Registro di sistema.

FunzionalitÓ che Ŕ stato pi¨ richiesti per l'aggiunta a VAPI 1.0 Ŕ la possibilitÓ di fornire dettagli del messaggio, in modo che gli amministratori di Exchange possono tenere traccia dell'esistenza di virus, determinano come virus penetrato dell'organizzazione e determinare quali utenti sono interessate dalla vulnerabilitÓ. Questa capacitÓ Ŕ stato aggiunto con VAPI 2.0 poichÚ scansione si basa non Ŕ pi¨ direttamente off nella tabella degli allegati.

Per aumentare la risoluzione dei problemi del VAPI, Exchange 2000 Server SP1 implementa nuovi contatori di VAPI Performance Monitor che gli amministratori possono utilizzare per tenere traccia delle prestazioni dell'API antivirus di Exchange. Questi contatori forniscono all'amministratore la possibilitÓ di determinare la quantitÓ di informazioni viene sottoposto a scansione e la frequenza con cui viene sottoposto a scansione tali informazioni. In questo modo l'amministratore del server di scala in modo pi¨ preciso.

L'ultima funzionalitÓ Ŕ la nuova registrazione di eventi Ŕ specifica per il VAPI. Nuovi eventi vengono registrati includono:
  • Il caricamento e lo scaricamento della DLL del fornitore.
  • Esegue la scansione corretta di elementi.
  • Virus che si trovano nell'archivio informazioni.
  • Un comportamento imprevisto nel VAPI.
╚ possibile determinare se si utilizza uno scanner VAPI ricercando la seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\VirusScan
Questa chiave del Registro di sistema non esiste se non Ŕ installato uno scanner VAPI.

Di seguito Ŕ riportato un esempio di evento che potrebbe essere registrato se il programma VSAPI analizza i file tramite il percorso di //./backofficestorage/:
Event ID: 2045 
Source: McAfee GroupShield 
The description for Event ID ( 2045 ) in Source ( McAfee GroupShield ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. 

The On-Demand 4 Hours Cycle scanner failed to scan the item 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject.EML' with error 80040e19.
Per ulteriori informazioni sui problemi che possono verificarsi se si esegue l'analisi dell'unitÓ M, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
299046Gli elementi del calendario verranno rimosse dalle cartelle dell'utente
300608Un errore di "C1041737" e un messaggio di evento ID 470 potrebbe essere visualizzati quando si tenta di montare i database
307824Non Ŕ possibile installare il componente notifiche di Exchange su unitÓ M di un server di Exchange 2000
298924Problemi causati da un backup o da una scansione dell'unitÓ M di Exchange 2000

Basato su ESE scanner

Gli scanner basato su ESE, ad esempio alcune versioni di Antigen utilizzano un'interfaccia tra l'archivio informazioni e di ESE (Extensible Storage Engine) supportato da Microsoft. Quando si utilizza questo tipo di software, si corre il rischio di danneggiare il database e dati perdere se sono presenti errori nell'implementazione del software.


Durante l'installazione, lo scanner basato su ESE modifica il servizio Archivio informazioni di Exchange Server in modo da renderlo dipenda dal servizio specifico. Questo assicura che il servizio venga avviato prima dell'avvio del servizio Archivio informazioni di Exchange Server. Durante il processo di avvio servizio dello scanner Cerca le versioni appropriate del proprio software e il server di Exchange e le versioni di file appropriato. Se eventuali incompatibilitÓ viene trovato, Antigen software Disattiva se stesso, consente l'archivio informazioni avviare senza protezione antivirus e quindi avvisa gli amministratori.


Quando lo scanner basato su ESE avvia correttamente, la versione Microsoft di ESE.dll file viene temporaneamente rinominata Xese.dll e la versione di Antigen del file ESE.dll sostituisce il file originale. Dopo aver caricata la versione di Antigen del file ESE.dll, la versione viene rinominata Ese.dll e archivio informazioni di Exchange Server Ŕ attivata per completare il processo di avvio.


I clienti che contattare il servizio supporto tecnico clienti Microsoft possono venire chiesto di disattivare il servizio di Antigen per aiutare a identificare i problemi, ma i clienti sono liberi di riattivare il software di Antigen dopo correttamente Ŕ diagnosticare la causa principale del problema.

Lettura aggiuntiva

Per ulteriori informazioni sul software antivirus che viene utilizzato con Exchange Server, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
285667Comprensione antivirus API 2.0 in Exchange 2000 Server Service Pack 1
298924Problemi causati da un backup o da una scansione dell'unitÓ M di Exchange 2000
245822Consigli per la risoluzione dei problemi relativi a un computer che esegue Exchange Server con installato un software antivirus
253111Vengono registrati gli eventi di errore quando il servizio di database di Exchange Server viene negato l'accesso in scrittura ai propri file edb o al file con estensione chk
176239Database non viene avviato; la registrazione circolare file di registro eliminato troppo presto
Per informazioni pi¨ aggiornate sui virus e gli avvisi di protezione e i fornitori di software di protezione da virus, utilizzare le seguenti risorse:

Microsoft

http://www.microsoft.com

ICSA

ICSA, una consociata di GartnerGroup fornisce protezione Internet servizi di garanzia.
http://www.icsa.net

CERT Coordination Center

Il CERT Coordination Center fa parte di Survivable Systems Initiative all'indirizzo Software Engineering Institute, una ricerca federally accompagnata e centro di sviluppo Ŕ sponsorizzato da Dipartimento della difesa degli Stati Uniti e gestito da Carnegie Mellon University.
http://www.cert.org

Rete Associates

http://www.mcafee.com/us/

Trend Micro

http://www.antivirus.com

Computer Associates

http://ca.com/us/anti-virus.aspx

Norton AntiVirus (Symantec)

http://www.norton.com
Microsoft fornisce informazioni su come contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono pertanto soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni per contattare altri produttori.
I prodotti di terze parti in questo articolo viene descritto in questo articolo sono forniti da societÓ indipendenti. Microsoft non rilascia alcuna garanzia, implicita o esplicita relativa alle prestazioni o all'affidabilitÓ di tali prodotti.

ProprietÓ

Identificativo articolo: 328841 - Ultima modifica: mercoledý 25 luglio 2007 - Revisione: 13.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Exchange 2000 Server Standard Edition
Chiavi:á
kbmt kb3rdparty kbenv kbinfo KB328841 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 328841
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com