Exchange 및 바이러스 백신 소프트웨어

기술 자료 번역 기술 자료 번역
기술 자료: 328841 - 이 문서가 적용되는 제품 보기.
중요 이 문서에서는 컴퓨터에서 보안 설정 수준을 낮추거나 보안 기능을 해제하는 방법을 설명합니다. 특정 문제를 해결하기 위해 이러한 변경 작업을 수행할 수 있습니다. 이러한 변경 작업을 수행하기 전에는 특정 환경에서 이러한 문제 해결 방법을 사용하는 것과 관련된 위험이 있는지 확인하는 것이 좋습니다. 이 해결 방법을 사용하는 경우 적절한 시스템 보호 조치를 추가로 취하십시오.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Exchange 2000 Server에서 일반적으로 사용되는 다른 종류의 바이러스 검색 프로그램을 개략적으로 설명합니다. 문서에는 다른 종류의 검색 프로그램에 대한 장단점과 문제 해결 고려 사항이 나와 있습니다. 이 문서에서는 Exchange 2000 Server 기반 컴퓨터와 별도로 네트워크 서버에 일반적으로 설치되는 SMTP 필터링 솔루션에 대해서는 설명하지 않습니다.

파일 수준의 검색 프로그램

파일 수준의 검색 프로그램이 자주 사용되고 있지만 Exchange 2000 Server에서 사용할 때 가장 문제가 많은 프로그램입니다. 파일 수준의 검색 프로그램은 "메모리 상주" 또는 "주문형" 프로그램입니다.
  • "메모리 상주"란 항상 메모리에 로드되는 파일 수준 바이러스 백신 소프트웨어를 의미합니다. 이런 프로그램은 하드 디스크 및 컴퓨터 메모리에서 사용되는 모든 파일을 검색합니다.
  • "주문형"이란 수동으로 또는 일정에 따라 하드 디스크에서 파일을 검색하도록 구성할 수 있는 파일 수준 바이러스 백신 소프트웨어를 의미합니다. 바이러스 서명을 업데이트한 후 자동으로 "주문형" 검색을 시작하여 모든 파일이 최신 서명으로 검색되었는지 확인하는 바이러스 백신 소프트웨어의 버전도 있습니다.
Exchange 2000 Server에서 파일 수준 검색 프로그램을 사용할 때 다음과 같은 문제가 발생할 수 있습니다.
  • 파일 수준 검색 프로그램이 파일 사용 시 또는 예정된 일정에 따라 파일을 검색하고 Exchange가 파일을 사용하려고 할 때 Exchange 로그나 데이터베이스 파일을 잠그거나 격리할 수 있습니다. 이로 인해 Exchange 2000 Server에서 서버가 실패하고 -1018 오류가 생성될 수도 있습니다.
  • 파일 수준의 검색 프로그램 소프트웨어를 사용하여 드라이브 M을 검색할 경우 다른 문제가 추가로 발생할 수 있습니다.

    파일 수준의 검색 프로그램으로 M: 드라이브를 검색할 때 기록될 수 있는 이벤트의 예는 다음과 같습니다.

    Exchange Server 데이터베이스 서비스에 ID 6 원본: Norton Antivirus 이벤트 ID(6)(원본 (Norton AntiVirus)에 있음)에 대한 설명을 찾을 수 없습니다. 로컬 컴퓨터에 원격 컴퓨터에서 보낸 메시지를 표시하기 위해 필요한 레지스트리 정보 또는 메시지 DLL 파일이 없을 수 있습니다.  
    
    Scan could not open file M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML

  • 파일 수준 검색 프로그램은 "Melissa" 바이러스와 같은 전자 메일 바이러스에 대한 보호를 제공하지 않습니다.

    참고: "Melissa" 바이러스는 전자 메일 메시지를 통해 자체적으로 전파되는 Microsoft Word 매크로 바이러스입니다. 이 바이러스는 Microsoft Outlook 메일 클라이언트에 있는 개인 주소록에서 찾은 주소로 감염된 전자 메일 메시지를 보냅니다. 유사한 바이러스로 데이터가 파괴될 수 있습니다.
"주문형" 파일 수준 검색 프로그램과 "메모리 상주" 파일 수준 검색 프로그램에서 다음 폴더를 제외시킵니다.
  • Exchange 2000 Server 드라이브 M
  • Exchange 데이터베이스 및 로그 파일. 기본적으로 Exchsrvr\Mdbdata 폴더에 있습니다.
  • Exchsrvr\Mtadata 폴더의 Exchange MTA 파일
  • Exchsrvr\server_name.log 파일과 같은 추가 로그 파일
  • Exchsrvr\Mailroot 가상 서버 폴더
  • 메시지 변환에 사용된 스트리밍 임시 파일을 저장하는 데 사용되는 작업 폴더. 기본적으로 이 폴더는 \Exchsrvr\MDBData에 있지만 사용자가 이 위치를 구성할 수 있습니다.
  • Eseutil.exe와 같은 오프라인 유지 관리 유틸리티에 함께 사용되는 임시 폴더. 기본적으로 이 폴더는 .exe 파일이 실행되는 위치이지만 유틸리티를 실행할 때 파일이 실행되는 위치를 구성할 수 있습니다.
  • Exchsrvr\Srsdata 폴더의 SRS(사이트 복제 서비스) 파일
  • %SystemRoot%\System32\Inetsrv 폴더의 Microsoft Internet Information Service(IIS) 시스템 파일

    참고: Exchsrvr\address, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res 및 Exchsrvr\Schema 폴더는 대개 안전하므로 검색에 포함시킬 수 있습니다. 그러나 "주문형" 및 "메모리 상주" 파일 수준 검색 프로그램 모두에서 전체 Exchsrvr 폴더를 제외시킬 수도 있습니다. 운영 체제와 Exchange를 업그레이드하는 동안 임시로 파일 기반 검색 소프트웨어를 해제하는 것이 좋습니다. 여기에는 Exchange 또는 운영 체제의 새로운 버전으로 업그레이드하고 Exchange 또는 운영 체제 수정 프로그램이나 서비스 팩을 적용하는 것이 포함됩니다.
작업 폴더에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
822936 메시지가 로컬 배달 대기열로 매우 느리게 이동한다
"주문형" 파일 수준 검색 프로그램과 "메모리 상주" 파일 수준 검색 프로그램 모두에서 다음 파일 형식을 제외시킵니다.
  • .edb
  • .stm(Exchange 2000 Server의 경우)
  • .log
"메모리 상주" 검색 프로그램과 "주문형" 검색 프로그램에서 검사점(.chk) 파일이 들어 있는 폴더를 제외시킵니다.

참고: Exchange 데이터베이스와 로그 파일을 새 위치로 이동하고 해당 폴더를 제외하는 경우에도 .chk 파일이 계속 검색될 수 있습니다. .chk 파일을 검색하는 경우에 발생할 수 있는 문제에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
253111 Exchange Server 데이터베이스 서비스에 자체 .edb 파일이나 .chk 파일에 대한 쓰기 액세스가 거부되면 오류 이벤트가 기록된다
176239 XADM: 데이터베이스가 시작되지 않는다. 순환 로깅이 로그 파일을 너무 빨리 삭제했다

MAPI 검색 프로그램

Exchange 에이전트를 포함하는 바이러스 검색 프로그램의 1세대는 MAPI 기반입니다. 이 검색 프로그램은 각 사서함에 MAPI 로그온을 수행한 다음 알려진 바이러스를 검색합니다.

MAPI 검색 프로그램은 파일 기반 검색 프로그램에 비해 다음과 같은 장점이 있습니다.
  • MAPI 검색 프로그램은 "Melissa" 바이러스와 같은 전자 메일 바이러스를 검색할 수 있습니다.
  • MAPI 검색 프로그램은 Exchange 로그나 데이터베이스 파일을 방해하지 않습니다.
MAPI 검색 프로그램은 다음과 같은 단점이 있습니다.
  • MAPI 검색 프로그램은 사용자가 전자 메일 메시지를 열기 전에 감염된 전자 메일 메시지를 검색할 수 없습니다. MAPI 검색 프로그램은 검색 프로그램에서 감염된 전자 메일 메시지를 먼저 검색하지 못한 경우 사용자가 감염된 전자 메일 메시지를 열지 못하게 할 수 없습니다.
  • MAPI 검색 프로그램은 아웃바운드 메시지를 검색할 수 없습니다.
  • MAPI 검색 프로그램은 Exchange 단일 인스턴스 저장소 필터를 인식하지 않으므로 이 검색 프로그램은 같은 메시지가 여러 사서함에 있는 경우 한 메시지를 여러 번 검색할 수 있습니다. 따라서 MAPI 검색 프로그램이 검색하는 데 시간이 더 걸릴 수 있습니다.
MAPI 검색 프로그램은 전자 메일 바이러스를 검색할 수 있으므로 파일 수준 검색 프로그램보다 유용합니다. 그러나 이 보다 더 나은 옵션이 있으며 이 문서의 뒷부분에 설명되어 있습니다.

VAPI, AVAPI 또는 VSAPI 검색 프로그램

바이러스 응용 프로그래밍 인터페이스 또는 VAPI(바이러스 API)를 AVAPI(바이러스 백신 API) 또는 VSAPI(바이러스 검색 API)라고도 합니다.

VAPI 1.0은 Exchange Server 5.5 서비스 팩 3(SP3)에 도입되었고 Exchange 2000 Server 전까지 사용되었습니다. Exchange Server 5.5의 성능을 향상시키기 위해 VAPI 1.0의 많은 부분이 향상되었습니다. 이 항목에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
248838 XADM: Exchange Server 5.5 SP 3 이후 정보 저장소 수정 프로그램을 사용할 수 있다
Exchange 2000 Server 서비스 팩 1(SP1)에서는 VAPI 2.0을 도입했습니다. Exchange 5.5에서는 VAPI 2.0이 지원되지 않습니다. VAPI 1.0과 VAPI 2.0은 모두 주문형 검색을 지원합니다.

VAPI 검색 프로그램을 사용하는 상태에서 클라이언트가 메시지를 열려고 하면 메시지 본문과 첨부 파일이 현재 바이러스 서명 파일에 의해 검색되었는지 확인하기 위해 비교를 수행합니다. 최신 공급업체 또는 서명 파일로 콘텐츠를 검색하지 않은 경우 해당 메시지 구성 요소를 클라이언트에게 릴리스하기 전에 검색할 수 있도록 바이러스 백신 소프트웨어 공급업체에 제출합니다. 클라이언트가 기존 MAPI 클라이언트 또는 Post Office Protocol 버전 3(POP3), Microsoft Outlook Web Access(OWA) 및 IMAP4(Internet Message Access Protocol 버전 4rev1)와 같은 인터넷 프로토콜 기반 클라이언트를 사용하고 있을 수 있습니다.

VAPI 2.0에서는 단일 대기열이 모든 메시지 본문과 첨부 데이터를 처리합니다. "주문형" 항목으로 이 대기열에 제출된 항목은 우선 순위가 높습니다. 이 대기열은 현재 일련의 스레드에 의해 제공되며 우선 순위가 높은 항목이 항상 먼저 처리되는 방식으로 이루어집니다. 기본 스레드 수는 2 * 'number_of_processors' + 1입니다. 이렇게 하면 공급업체에 여러 항목을 동시에 제출할 수 있습니다. 또한 클라이언트 스레드가 항목이 릴리스될 때까지 기다리는 "제한 시간" 값에 더 이상 종속되지 않아도 됩니다. 항목이 검색되어 안전하다고 표시가 되면 클라이언트 스레드에게 항목을 사용할 수 있다고 알립니다. 기본적으로 클라이언트 스레드는 요청한 데이터의 가용성을 통보받는 데 제한 시간이 발생하기 전인 최대 3분까지 기다립니다.

VAPI 2.0의 새로운 기능은 메시지를 사전 검색하는 것입니다. VAPI 1.0에서는 메시지 첨부 정보가 사용될 때만 검색됩니다. VAPI 2.0에서는 항목이 정보 저장소에 제출되면 바로 공용 정보 저장소 대기열에 제출됩니다. 이러한 각 항목은 대기열에서 우선 순위가 낮으므로 높은 우선 순위 항목의 검색을 방해하지 않습니다. VAPI 2.0은 높은 우선 순위의 항목을 모두 검색한 후 낮은 우선 순위의 항목을 검색하기 시작합니다. 클라이언트가 우선 순위가 낮은 대기열에 있는 항목을 사용하려고 하면 그 항목의 우선 순위는 높은 우선 순위로 동적으로 업그레이드됩니다. 한 번에 최대 30개의 항목이 낮은 우선 순위 대기열에 있을 수 있으며 먼저 들어온 것이 먼저 처리되는 방식(First in, First out)으로 우선 순위가 결정됩니다.

이 검색 프로세스의 향상된 기능 중 마지막으로 설명할 부분은 백그라운드 검색입니다. VAPI 1.0에서는 첨부 테이블에 단일 패스를 만들고 최신 공급업체 또는 서명 파일로 검색하지 않은 첨부 파일은 바이러스 백신 DLL로 직접 제출하여 백그라운드 검색을 수행합니다. 각 개인 및 공용 정보 저장소는 이 백그라운드 검색을 수행하는 스레드 하나를 지정받으며, 스레드는 첨부 테이블의 한 패스를 완료한 후 다른 패스를 수행하기 전에 정보 저장소 프로세스가 다시 시작될 때까지 기다립니다. VAPI 2.0에서는 각 MDB(메시징 데이터베이스)가 아직도 백그라운드 검색 프로세스를 수행하기 위해 하나씩 스레드를 받습니다. 그러나 이제는 백그라운드 검색 프로세스가 각 사용자의 사서함을 구성하는 일련의 폴더를 탐색합니다. 검색하지 않은 항목이 발견되면 공급업체에 제출되고 검색 프로세스가 계속 진행됩니다. 바이러스 백신 소프트웨어 공급업체는 레지스트리 키 집합을 이용하여 강제로 백그라운드 검색을 시작할 수도 있습니다.

VAPI 1.0에 추가하도록 가장 많이 요청된 기능은 Exchange 관리자가 바이러스 존재 여부를 추적하고 바이러스 침투 방법을 확인하고 감염된 사용자를 확인할 수 있도록 메시지 세부 정보를 제공하는 기능입니다. 이 기능은 검색 작업이 더 이상 첨부 테이블을 기반으로 하지 않기 때문에 VAPI 2.0에 추가되었습니다.

Exchange 2000 Server SP1에서는 VAPI의 문제 해결 기능을 향상시키기 위해 Exchange 관리자가 바이러스 검색 API의 성능을 추적하는 데 사용할 수 있는 새로운 VAPI 성능 모니터 카운터를 구현합니다. 이 카운터를 사용하면 관리자는 검색 중인 정보의 양과 검색 속도를 확인할 수 있습니다. 따라서 관리자는 더욱 정확하게 서버 성능을 측정할 수 있게 되었습니다.

마지막 기능은 VAPI에만 있는 새로운 이벤트 로깅 기능입니다. 다음과 같은 새로운 이벤트가 로그에 기록됩니다.
  • 공급업체 DLL의 로딩과 언로딩
  • 항목의 성공적인 검색
  • 정보 저장소에 있는 바이러스
  • VAPI의 예상치 못한 동작
다음 레지스트리 키를 찾아 보면 VAPI 검색 프로그램을 사용 중인지 확인할 수 있습니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
VAPI 검색 프로그램이 설치되어 있지 않은 경우에는 이 레지스트리 키가 존재하지 않습니다.

다음은 VSAPI 프로그램이 //./backofficestorage/ 경로를 통해 파일을 검색할 때 기록될 수 있는 이벤트의 예입니다.

이벤트 ID: 2045 원본: McAfee GroupShield 이벤트 ID(2045)(원본 (McAfee GroupShield)에 있음)에 대한 설명을 찾을 수 없습니다. 로컬 컴퓨터에 원격 컴퓨터에서 보낸 메시지를 표시하기 위해 필요한 레지스트리 정보 또는 메시지 DLL 파일이 없을 수 있습니다. 

The On-Demand 4 Hours Cycle scanner failed to scan the item 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject.EML' with error 80040e19.

드라이브 M을 검색할 때 발생할 수 있는 문제에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
299046 XADM: 일정 항목이 사용자 폴더에서 사라진다
300608 XADM: 데이터베이스를 탑재하려고 하면 "C1041737" 오류와 이벤트 ID 470 메시지가 표시될 수 있다
307824 Exchange 2000 Server의 드라이브 M에 Exchange Notifications 구성 요소를 설치할 수 없다
298924 Exchange 2000 M 드라이브를 백업하거나 검색할 때 발생하는 문제

ESE 기반 검색 프로그램

ESE 기반 검색 프로그램(예: 일부 Antigen 버전)은 정보 저장소와 Microsoft에서 지원하는 ESE(Extensible Storage Engine) 간의 인터페이스를 사용합니다. 이러한 종류의 소프트웨어를 실행하면 소프트웨어를 구현하는 데 오류가 있는 경우 데이터베이스가 손상되고 데이터가 손실되는 위험이 발생합니다.


ESE 기반 검색 프로그램은 설치하는 동안 Exchange Server Information Store 서비스를 특정 서비스에 종속되도록 변경합니다. 이렇게 하면 Exchange Server Information Store 서비스가 시작되기 전에 해당하는 특정 서비스가 시작됩니다. 시작 프로세스 동안 검색 프로그램의 서비스는 해당 소프트웨어와 Exchange Server의 버전과 파일 버전이 올바른지 확인합니다. 호환되지 않는 경우 Antigen 소프트웨어는 자체적으로 해제되고, 정보 저장소를 바이러스 백신 보호 없이 시작한 다음 관리자에게 알립니다.


ESE 기반 검색 프로그램이 성공적으로 시작되면 Ese.dll 파일의 Microsoft 버전 이름은 임시로 Xese.dll로 바뀌고 Antigen 버전의 Ese.dll 파일은 원래 파일을 대체합니다. Antigen 버전의 Ese.dll 파일이 로드되면 Microsoft 버전 이름은 다시 Ese.dll로 바뀌고 Exchange Server Information Store는 사용 가능하도록 설정되어 시작 프로세스를 완료할 수 있습니다.


Microsoft 고객기술지원부에서 문의하는 고객에게 문제를 확인하기 위해 Antigen 서비스를 해제하라고 요청할 수도 있습니다. 문제에 대한 원인이 제대로 확인되면 고객은 Antigen 소프트웨어를 다시 사용할 수 있습니다.

추가 문서

Exchange Server에서 사용되는 바이러스 검색 소프트웨어에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
285667 XADM: Exchange 2000 Server SP1의 바이러스 검색 API 2.0에 대한 이해
298924 Exchange 2000 M 드라이브를 백업하거나 검색할 때 발생하는 문제
245822 바이러스 백신 소프트웨어가 설치된 Exchange Server 컴퓨터의 문제 해결에 대한 권장 사항
253111 Exchange Server 데이터베이스 서비스에 자체 .edb 파일이나 .chk 파일에 대한 쓰기 액세스가 거부되면 오류 이벤트가 기록된다
176239 XADM: 데이터베이스가 시작되지 않는다. 순환 로깅이 로그 파일을 너무 빨리 삭제했다
바이러스와 보안 경고 및 바이러스 보호 소프트웨어 공급업체에 대한 최신 정보는 다음 사이트를 참조하십시오.

Microsoft

http://www.microsoft.com/korea/

ICSA

ICSA는 GartnerGroup의 계열사로 인터넷 보안 보증 서비스를 제공합니다.
http://www.icsa.net

CERT Coordination Center

CERT Coordination Center는 Software Engineering Institute의 Survivable Systems Initiative를 위한 기관이며, 미 국방부에서 후원하고 Carnegie Mellon University에서 운영하는 연방 자금 연구 및 개발 센터입니다.
http://www.cert.org

Computer Incident Advisory Capability

Computer Incident Advisory Capability에서는 컴퓨터 보안 문제가 발생한 DOE(Department of Energy) 사이트에 방문 기술 지원과 정보를 제공합니다.
http://www.ciac.org

Network Associates

http://www.nai.com

Trend Micro

http://www.antivirus.com

Computer Associates

http://ca.com/virusinfo

Norton AntiVirus(Symantec)

http://www.norton.com
이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.
이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이러한 제품의 성능이나 신뢰성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 328841 - 마지막 검토: 2007년 2월 20일 화요일 - 수정: 11.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Exchange 2000 Server Standard Edition
키워드:?
kbinfo kbenv kb3rdparty KB328841

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com