Artigo: 328841 - Última revisão: quarta-feira, 25 de Julho de 2007 - Revisão: 13.4

Exchange e o software antivírus

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Importante Este artigo contém informações que lhe mostra como ajudar a diminuir as definições de segurança ou como desactivar as funcionalidades de segurança num computador. Pode efectuar estas alterações para contornar um problema específico. Antes de efectuar estas alterações, recomendamos que avalie os riscos associados à implementação desta solução alternativa no seu ambiente específico. Se implementar esta solução alternativa, tome medidas adicionais adequadas para ajudar a proteger o seu sistema.

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Este artigo fornece uma descrição geral dos diferentes tipos de detecção de vírus programas que são normalmente utilizados com o Exchange 2000 Server. O artigo apresenta vantagens e desvantagens e considerações sobre resolução de problemas para os diferentes tipos de scanners. Este artigo não descrever SMTP filtragem soluções que normalmente estão instaladas no servidor de rede separado o computador baseado no Exchange 2000 Server.

Voltar ao topo

Scanners de nível de ficheiro

Scanners de nível de ficheiro são frequentemente utilizados e poderão ser mais problemático para utilização com o Exchange 2000 Server. Scanners de nível de ficheiro podem ser "Memória residente"ou"a pedido":
  • "Memória residente" refere-se a uma parte do software antivírus de nível de ficheiro que está carregado na memória sempre. Verifica todos os ficheiros que estão a ser utilizados no disco rígido e memória do computador.
  • "Marcação" refere-se a uma parte do software antivírus de nível de ficheiro que pode configurar para pesquisar ficheiros no disco rígido, quer manualmente ou de acordo com uma agenda. Repare que existem versões do software antivírus que iniciar a pesquisa de "marcação" automaticamente depois de assinaturas de vírus foram actualizadas para se certificar de que todos os ficheiros foram digitalizados com as assinaturas mais recentes.
Quando utiliza o nível de ficheiro antivírus digitalização com Microsoft Exchange Server 2007, com o Microsoft Exchange Server 2003 ou com o Exchange 2000 Server, irão ocorrer os seguintes problemas:
  • Scanners antivírus do nível de ficheiro Digitalizar um ficheiro quando é utilizado ou a um intervalo agendado. A pesquisa do ficheiro faz com que um ficheiro a ser bloqueado quando o Exchange Server tenta aceder ao ficheiro enquanto está a ser verificado. Isto provoca uma falha de arquivo de informações do Exchange Server bloquear o ficheiro. Eventualmente, isto faz com que o ficheiro fique danificado ou inutilizável. Todos os ficheiros dinâmicos que são utilizados pelo Exchange Server tem de ser excluídos da digitalização de nível de ficheiro. A lista de principais de ficheiros que devem ser excluídos são todos os ficheiros .edb, ficheiros .log, ficheiros .chk e ficheiros STM. Recomendamos que todos os ficheiros com contendo de hierarquia de pastas de mensagens em fila que são utilizados pelo Microsoft Exchange Information Store ser excluído da digitalização de nível de ficheiro.
  • Se digitalizar unidade M com software do scanner de nível de ficheiro, poderão ocorrer problemas mais.

    O seguinte é um exemplo de um evento que poderão ser registado se da unidade M: verificada pelo programa de scanner de nível de ficheiro: 
    Event: ID 6 
Source: Norton Antivirus 
The description for Event ID ( 6 ) in Source ( Norton AntiVirus ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote ccomputer.

Scan could not open file M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML
  • Scanners de nível de ficheiro não fornecem protecção contra vírus de correio electrónico como, por exemplo, o vírus "Melissa".

    Nota: O vírus "Melissa" é um vírus de macro do Microsoft Word podem propagar através de mensagens de correio electrónico. O vírus envia mensagens de correio electrónico inadequados para endereços que encontrar no livros de endereços pessoais em clientes de correio do Microsoft Outlook. Vírus semelhantes podem provocar a destruição de dados.
Excluir as seguintes pastas do "marcação" e "memória residente" scanners de nível de ficheiro:
  • Unidade M da Exchange 2000 Server.
  • Ficheiros de registo e bases de dados do Exchange. Por predefinição, estes estão localizados na pasta Exchsrvr\Mdbdata.
  • Ficheiros do MTA do Exchange na pasta Exchsrvr\Mtadata.
  • Ficheiros de registo adicional como, por exemplo, o ficheiro de .log server_name Exchsrvr\.
  • A pasta do servidor virtual de Exchsrvr\Mailroot.
  • A pasta de trabalho é utilizada para armazenar ficheiros temporários que são utilizados para conversão de mensagens de transmissão em sequência. Por predefinição, esta pasta está localizada em \Exchsrvr\MDBData, mas pode configurar a localização.
  • A pasta temporária que é utilizada em conjunto com utilitários de manutenção offline, tais como o Eseutil.exe. Por predefinição, esta pasta é a localização onde o ficheiro .exe é executado a partir da, mas pode configurar onde executa o ficheiro a partir do quando executar o utilitário.
  • Ficheiros de Replication Service (SRS) do site na pasta Exchsrvr\Srsdata.
  • Ficheiros de sistema do Microsoft Internet Information Service (IIS) na pasta %systemroot%\system32\inetsrv.

    Nota: O Exchsrvr\address, ExchSrvr\Bin, Exchsrvr\Exchweb, Exchsrvr\Res e as pastas de Exchsrvr\Schema são geralmente seguras para incluir uma análise. No entanto, poderá pretender excluir a pasta Exchsrvr toda de "marcação" e "memória residente" scanners de nível de ficheiro. É recomendado vivamente que desactive temporariamente o software de digitalização baseado no ficheiro durante o sistema operativo e actualizações do Exchange; Isto inclui a actualização para novas versões do Exchange ou o sistema operativo e aplicar quaisquer correcções do Exchange ou sistema operativo ou service packs.
Para obter mais informações sobre a pasta de trabalho, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
822936  (http://support.microsoft.com/kb/822936/ ) Fluxo de mensagem para a fila de entrega local é muito lento
Voltar ao topo
Excluir os seguintes tipos de ficheiro do "marcação" e "memória residente" scanners de nível de ficheiro:
  • .edb
  • .stm (no Exchange 2000 Server)
  • . log
Exclua a pasta que contém os ficheiros de ponto de verificação (.chk) a partir de "memória residente" e "marcação" scanners.

Nota: mesmo se mover as bases de dados do Exchange e ficheiros de registo para novas localizações e excluir essas pastas, o ficheiro .chk poderá ainda ser verificado. Para obter mais informações sobre o que poderá ocorrer se o ficheiro .chk for verificado, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
253111  (http://support.microsoft.com/kb/253111/ ) São registados eventos de erro quando o serviço de base de dados do Exchange Server é negado o acesso de escrita para seus próprios ficheiros .edb ou para o ficheiro .chk
176239  (http://support.microsoft.com/kb/176239/ ) Não é possível iniciar a base de dados; registo circular eliminado o ficheiro de registo demasiado cedo
Voltar ao topo

Scanners MAPI

A geração de primeiro dos detectores de vírus incluído um agente de Exchange foram MAPI baseado. Estes scanners executam um início de sessão MAPI para cada caixa de correio e, em seguida, procure-vírus conhecidos.

O scanner MAPI tem as seguintes vantagens sobre o scanner baseado no ficheiro:
  • O scanner MAPI pode verificar a existência de vírus de correio electrónico como, por exemplo, o vírus "Melissa".
  • O scanner MAPI não interfere com os ficheiros de registo ou base de dados do Exchange.
O scanner MAPI tem as seguintes desvantagens:
  • O scanner MAPI não poderá verificar uma mensagem de correio electrónico infectado antes de um utilizador abre a mensagem de correio electrónico. O scanner MAPI não impede que um utilizador abrir uma mensagem de correio electrónico infectado se o scanner não detectar primeiro a mensagem de correio electrónico infectado.
  • O scanner MAPI não é possível digitalizar mensagens de saída.
  • O scanner MAPI não reconhece o filtro de armazenamento de instância única Exchange, pelo que o scanner poderá pesquisar uma única mensagem muitas vezes se a mesma mensagem existe em várias caixas de correio. Devido a isto, o MAPI scanner poderá demorar mais tempo para efectuar a digitalização.
Uma vez que o scanner MAPI pode detectar vírus de correio electrónico, é uma opção melhor do que um scanner de nível de ficheiro. No entanto, existem opções melhor disponíveis e estes são descritos mais adiante neste artigo.

Voltar ao topo

VAPI, AVAPI ou VSAPI scanners

Vírus Application Programming Interface ou vírus API (VAPI) também é referido como Antivirus API (AVAPI) ou Virus Scanning API (VSAPI).

VAPI 1.0 foi introduzida no Exchange Server 5.5 Service Pack 3 (SP3) e foi utilizado até o Exchange 2000 Server. Muitos melhoramentos foram efectuados VAPI 1.0 para melhorar o desempenho com o Exchange Server 5.5. Para obter mais informações sobre este tópico, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
248838  (http://support.microsoft.com/kb/248838/ ) Arquivo de informações do Exchange Server 5.5 posteriores ao Pack 3 corrige disponíveis
Exchange 2000 Server Service Pack 1 (SP1) introduzido VAPI 2.0. VAPI 2.0 não é suportado no Exchange 5.5. VAPI 1.0 e o VAPI 2.0 suportam a pedido de digitalização.

Quando utiliza um VAPI scanner e um cliente tenta abrir uma mensagem, é efectuada uma comparação para se certificar de que o corpo da mensagem e o anexo foram digitalizadas pelo ficheiro de assinatura de vírus actuais. Se o ficheiro de assinatura ou de fornecedor actual não ter verificado o conteúdo, o componente de mensagem correspondente é submetido ao fornecedor de software antivírus para digitalização antes desse componente mensagem é disponibilizada para o cliente. O cliente pode utilizar um cliente MAPI convencional ou um Internet cliente baseado no protocolo como, por exemplo, Post Office Protocol versão 3 (POP3), Microsoft Outlook Web Access (OWA), Internet Message Access Protocol versão 4rev1 (IMAP4).

Em VAPI 2.0, uma fila única processa todos os dados da mensagem corpo e anexos. Itens que são submetidos para esta fila como "marcação" itens são submetidos como itens de prioridade alta. Esta fila está agora servida por uma série de threads com itens de prioridade alta tomar sempre precedência. O número predefinido de threads é 2 * 'number_of_processors' + 1. Isto torna possível para vários itens simultaneamente sejam submetidos ao fornecedor. Além disso, threads de cliente já não estão associadas a valores de "limite de tempo" que estão a aguardar itens a serem libertadas. Depois de itens são digitalizados e marcados como seguros, o thread de cliente é notificado de que o item está disponível. Por predefinição, o thread de cliente aguarda até três minutos para ser notificado da disponibilidade de dados pedida antes de ocorre um limite de tempo.

Uma funcionalidade mais recente no VAPI 2.0 é proactiva baseado digitalização das mensagens. Em VAPI 1.0, informações de anexo de mensagem só foi digitalizadas como foi utilizado. VAPI 2.0, itens são submetidos para uma fila de arquivo de informações comuns à medida que são submetidas para o arquivo de informações. Cada um destes itens recebe uma prioridade baixa na fila, para que estes itens não interferem com a digitalização dos itens de prioridade alta. Quando todos os itens de prioridade alta foram digitalizados, VAPI 2.0 começa a pesquisar itens de prioridade baixa. A prioridade de itens dinamicamente é actualizada para alta prioridade se um cliente tenta utilizar o item enquanto o item está na fila de prioridade baixa. Pode existir um máximo de 30 produtos simultaneamente na fila de prioridade baixa, é determinada num first in, primeiro fora base.

A última área de melhoramento no processo de digitalização é fundo digitalização. Em VAPI 1.0, digitalização de fundo é conduzida efectuando uma única fase sobre a tabela de anexos e submeter anexos que não foram digitalizados pelo ficheiro actual de fornecedor ou assinatura directamente para a DLL de antivírus. Cada um dos arquivos de informações privado e público recebe um thread para efectuar esta verificação de fundo e depois do thread concluída uma fase da tabela anexo, o thread aguarda por um reinício do processo de arquivo de informações antes de realiza-outro passo. Em VAPI 2.0, cada Messaging Database (MDB) ainda recebe um thread para conduzir o fundo do processo de digitalização. No entanto, agora o fundo do processo de digitalização navega a série de pastas que compõem a caixa de correio do utilizador. Como itens que foram digitalizadas são detectados, são submetidos ao fornecedor e continua o processo de digitalização. Fornecedores de software antivírus podem também forçar uma análise em segundo plano para iniciar por meio de um conjunto de chaves de registo.

A funcionalidade que foi pedida mais para adição à VAPI 1.0 é a capacidade de fornecer detalhes da mensagem, para que os administradores do Exchange podem controlar a existência de vírus, determinam que como vírus penetrated da organização e determinar quais os utilizadores são afectados. Esta capacidade foi adicionada com 2.0 VAPI porque digitalização directamente já não se baseia fora da tabela de anexo.

Para melhorar a resolução de VAPI, o Exchange 2000 Server SP1 implementa os contadores do Monitor de desempenho de VAPI novos que Exchange os administradores podem utilizar para controlar o desempenho da API de detecção de vírus. Estes contadores fornecem o administrador a capacidade para determinar a quantidade de informações está a ser pesquisado e a taxa à qual está a ser pesquisadas essas informações. Isto ajuda o administrador para servidores de escala com mais precisão.

A última funcionalidade é o novo registo de eventos é específico de VAPI. Novos eventos são registados incluem:
  • Carregar e descarregar de DLL do fornecedor.
  • Digitalizar com êxito dos itens.
  • Vírus localizados no arquivo de informações.
  • Comportamento inesperado do VAPI.
Pode determinar se está a utilizar um scanner VAPI procurando na seguinte chave de registo:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Esta chave de registo não existe se um scanner VAPI não estiver instalado.

O seguinte é um exemplo de um evento que foi possível iniciar sessão se o programa VSAPI analisa os ficheiros através do caminho de //./backofficestorage/: 
Event ID: 2045 
Source: McAfee GroupShield 
The description for Event ID ( 2045 ) in Source ( McAfee GroupShield ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. 

The On-Demand 4 Hours Cycle scanner failed to scan the item 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject.EML' with error 80040e19.
Para obter mais informações sobre problemas que poderá ocorrer se digitalizar unidade M, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
299046  (http://support.microsoft.com/kb/299046/ ) Itens do calendário desaparecem das pastas do utilizador
300608  (http://support.microsoft.com/kb/300608/ ) Poderão ser apresentados um erro de "C1041737" e uma mensagem de evento ID 470 quando tentar montar as bases de dados
307824  (http://support.microsoft.com/kb/307824/ ) Não é possível instalar o componente Exchange notificações num unidade M de um servidor de Exchange 2000
298924  (http://support.microsoft.com/kb/298924/ ) Problemas provocados por um back-up ou por uma pesquisa da unidade M do Exchange 2000
Voltar ao topo

Com o ESE scanners

ESE baseadas em scanners como, por exemplo, algumas versões do Antigen utilizam uma interface entre o arquivo de informações e o ESE (Extensible Storage Engine) que é suportado pela Microsoft. Quando utiliza este tipo de software, corre o risco de perda de dados e danos da base de dados de se existirem erros na implementação do software.


Durante a instalação, o scanner de ESE altera o serviço de arquivo de informações do Exchange Server, de forma a que está dependente de serviço específico. Isto certifica-se de que o serviço é iniciado antes do início do serviço de arquivo de informações do Exchange Server. Durante o processo de arranque, serviço o scanner verifica versões adequadas do seu software e o Exchange Server e versões de ficheiro adequado. Se qualquer incompatibilidade for encontrado, o Antigen software desactiva propriamente dito, permite que o arquivo de informações iniciar sem protecção antivírus e, em seguida, notifica os administradores.


Quando o scanner ESE baseadas em com êxito, inicia a versão do ESE.dll ficheiro temporariamente é mudado para Xese.dll da Microsoft e versão do ficheiro Ese.dll Antigen substitui o ficheiro original. Depois de versão do ficheiro Ese.dll Antigen carregada, a versão Microsoft nome é mudada para ESE.dll e o arquivo de informações do Exchange Server está activado para concluir o processo de arranque.


Os clientes que contacte o suporte técnico da Microsoft poderão ser-lhe pedidos para desactivar o serviço Antigen para ajudar a identificar problemas, mas os clientes estão livres para activar o software do Antigen novamente depois da causa raiz do problema é diagnosticou correctamente.
Voltar ao topo

Leitura adicional

Para obter mais informações sobre software Virus Scanning utilizado com o Exchange Server, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
285667  (http://support.microsoft.com/kb/285667/ ) Noções sobre vírus digitalização API 2.0 no Exchange 2000 Service Pack 1
298924  (http://support.microsoft.com/kb/298924/ ) Problemas provocados por um back-up ou por uma pesquisa da unidade M do Exchange 2000
245822  (http://support.microsoft.com/kb/245822/ ) Recomendações para resolução de problemas de um computador com o Exchange Server com software antivírus instalado
253111  (http://support.microsoft.com/kb/253111/ ) São registados eventos de erro quando o serviço de base de dados do Exchange Server é negado o acesso de escrita para seus próprios ficheiros .edb ou para o ficheiro .chk
176239  (http://support.microsoft.com/kb/176239/ ) Não é possível iniciar a base de dados; registo circular eliminado o ficheiro de registo demasiado cedo
Para obter informações mais recentes sobre vírus e alertas de segurança e fornecedores de software de protecção de vírus, utilize os seguintes recursos:

Microsoft

http://www.microsoft.com (http://www.microsoft.com)

ICSA

ICSA, uma filial da GartnerGroup, fornece serviços de garantia de segurança da Internet.
http://www.icsa.net (http://www.icsa.net)

CERT Coordination Center

O CERT Coordination Center faz parte do Systems Initiative Survivable o Software Engineering Institute, numa pesquisa federally fundada e Centro de desenvolvimento é patrocinado pela Department of Defense dos e.u.a. e operado pelo Carnegie Mellon University.
http://www.cert.org (http://www.cert.org)

A Network Associates

http://www.mcafee.com/us/ (http://www.mcafee.com/us/)

Trend Micro

http://www.antivirus.com (http://www.antivirus.com)

Computer Associates

http://ca.com/us/anti-virus.aspx (http://ca.com/us/anti-virus.aspx)

Norton AntiVirus (Symantec)

http://www.norton.com (http://www.norton.com)
A Microsoft fornece informações de contactos de outros fabricantes para o ajudar a encontrar suporte técnico. Estas informações de contacto poderá ser alterado sem aviso prévio. A Microsoft não garante a precisão este informações de contacto de outros fabricantes.
Os produtos de terceiros que este artigo aborda são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou de outra natureza, relativamente ao desempenho ou fiabilidade destes produtos.
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange 2000 Server Standard Edition
Voltar ao topo
Palavras-chave: 
kbmt kb3rdparty kbenv kbinfo KB328841 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 328841  (http://support.microsoft.com/kb/328841/en-us/ )
Voltar ao topo