Exchange e software antivírus

Este artigo fornece uma visão geral dos diferentes tipos de verificação de vírus programas que são usados normalmente com o Exchange 2000 Server. O artigo lista as vantagens e desvantagens e considerações de solução de problemas para os diferentes tipos de scanners. Este artigo não descrever SMTP filtragem soluções são normalmente instaladas em um servidor de rede separado do computador com Exchange 2000 Server.

Scanners de nível de arquivo

Scanners de nível de arquivo são usados com freqüência e podem ser mais problemático para uso com o Exchange 2000 Server. Scanners de nível de arquivo podem ser "Memória residente"ou"por demanda":

• "Memória residente" se refere a uma parte do software antivírus no nível de arquivo que é carregado na memória todas as vezes. Ele verifica todos os arquivos que estão sendo usados no disco rígido e na memória do computador.
• "Por demanda" se refere a uma parte do software antivírus no nível de arquivo que você pode configurar para examinar arquivos no disco rígido, manualmente ou acordo com a uma agenda. Observe que são versões de software antivírus Iniciar verificação "demanda" automaticamente após assinaturas de vírus foram atualizadas para certificar-se de que todos os arquivos foram examinados com as assinaturas mais recentes.

Os seguintes problemas ocorrerão quando usar a verificação antivírus nível de arquivo com o Microsoft Exchange Server 2007, com Microsoft Exchange Server 2003 ou com Exchange 2000 Server:

• Nível de arquivo scanners antivírus verificar um arquivo quando ele é usado ou em um intervalo programado. A verificação do arquivo faz com que um arquivo a ser bloqueada quando o Exchange Server tenta acessar o arquivo enquanto ele está sendo examinado. Isso causa uma falha de armazenamento de informações do Exchange Server bloquear o arquivo. Eventualmente, isso faz com que o arquivo para se tornar corrompida ou inutilizável. Todos os arquivos dinâmicos que são usados pelo Exchange Server devem ser isentos da verificação de nível de arquivo. A lista de núcleo de arquivos devem estar isentos são todos os arquivos .edb, arquivos .log, .chk arquivos e arquivos STM. Recomendamos que todos os arquivos que contém hierarquia de pasta usados pelo Microsoft Exchange Information Store ser isentos da verificação de nível de arquivo.
• Mais problemas podem ocorrer se você digitalizar unidade M com software de scanner de nível de arquivo.
  
  A seguir está um exemplo de um evento que pode ser registrado se a unidade M: é verificada pelo programa scanner de nível de arquivo:

  Event: ID 6 
  Source: Norton Antivirus 
  The description for Event ID ( 6 ) in Source ( Norton AntiVirus ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote ccomputer.
  
  Scan could not open file M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML

• Scanners de nível de arquivo não fornecem proteção contra vírus de email como o vírus "Melissa".
  
  Observação: O vírus "Melissa" é um vírus de macro do Microsoft Word pode propagar por meio de mensagens de email. O vírus envia emails inapropriados para endereços que encontra em catálogos de endereços pessoais em clientes de email do Microsoft Outlook. Vírus similares podem causar a destruição de dados.

Exclua as seguintes pastas do "demanda" e "residente na memória" nível de arquivo scanners:

• A Exchange 2000 Server unidade M.
• Bancos de dados do Exchange e arquivos de log. Por padrão, eles estão localizados na pasta Exchsrvr\Mdbdata.
• Arquivos MTA do Exchange na pasta Exchsrvr\Mtadata.
• Arquivos de log adicionais, como o arquivo Exchsrvr\ server_name .log.
• A pasta do servidor virtual Exchsrvr\Mailroot.
• A pasta de trabalho é usada para armazenar arquivos temporários usados para conversão de mensagem de fluxo. Por padrão, essa pasta está localizada em \Exchsrvr\Mdbdata, mas você pode configurar o local.
• A pasta temporária usada em conjunto com utilitários de manutenção offline como, por exemplo, Eseutil.exe. Por padrão, essa pasta é o local onde o arquivo .exe é executado a partir de, mas você pode configurar onde executar o arquivo de quando você executa o utilitário.
• Site Replication Service (SRS) arquivos na pasta Exchsrvr\Srsdata.
• Arquivos do sistema serviço de informações da Internet (IIS) na pasta %systemroot%\system32\inetsrv.
  
  Observação: O Exchsrvr\address, Exchsrvr\bin, Exchsrvr\exchweb, Exchsrvr\Res e pastas Exchsrvr\Schema são geralmente seguras incluir uma verificação. No entanto, convém excluir toda a pasta Exchsrvr de "demanda" e "residente na memória" scanners de nível de arquivo. É altamente recomendável que você desabilite temporariamente o software de exame com base em arquivo durante o sistema operacional e atualizações do Exchange; isso inclui a atualização para as novas versões do Exchange ou o sistema operacional e aplicar as correções do Exchange ou sistema operacional ou service packs.

Para obter mais informações sobre a pasta de trabalho, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:

Excluir os seguintes tipos de arquivo de "demanda" e "residente na memória" nível de arquivo scanners:

• .edb
• .stm (no Exchange 2000 Server)
• .log

Exclua a pasta que contém os arquivos CheckPoint (.chk) de "memória residente" e "demanda" scanners.

Observação: mesmo se você move os bancos de dados e arquivos de log para novos locais e exclua essas pastas, o arquivo .chk ainda pode ser examinado. Para obter mais informações sobre o que pode ocorrer se o arquivo .chk for examinado, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento:

Scanners MAPI

A primeira geração de scanners de vírus que incluía um agente do Exchange foram com base em MAPI. Esses scanners executam um logon MAPI para cada caixa de correio em examiná-lo de vírus conhecidos.

O scanner MAPI possui as seguintes vantagens sobre o scanner de arquivo:

• O scanner MAPI pode procurar vírus de email como o vírus "Melissa".
• O scanner MAPI não interfere nos arquivos de log ou banco de dados do Exchange.

O scanner MAPI possui as seguintes desvantagens:

• O scanner MAPI não pode examinar um email infectado antes que um usuário abre a mensagem de email. O scanner MAPI não impede que um usuário abrir um email infectado se o scanner não detectar primeiro a mensagem de email infectado.
• O scanner MAPI não pode examinar mensagens de saída.
• O scanner MAPI não reconhece o filtro Exchange Single Instance Storage, o scanner pode examinar uma única mensagem muitas vezes se a mesma mensagem existir em várias caixas de correio. Devido a isso, a MAPI scanner pode demorar mais para executar a verificação.

Porque o scanner MAPI pode detectar vírus de email, é uma opção melhor que um scanner de nível de arquivo. No entanto, há melhores opções disponíveis e eles são descritos neste artigo.

VAPI, AVAPI ou VSAPI scanners

Vírus Application Programming Interface, ou Virus API (VAPI) também é conhecido como Antivirus API (AVAPI) ou VSAPI (Virus Scanning API).

VAPI 1.0 foi introduzido no Exchange Server 5.5 Service Pack 3 (SP3) e foi usado até que o Exchange 2000 Server. Muitos aprimoramentos foram feitos para VAPI 1.0 para melhorar o desempenho com o Exchange Server 5.5. Para obter mais informações sobre esse tópico, clique no número abaixo para ler o artigo na Base de dados de Conhecimento: Exchange 2000 Server Service Pack 1 (SP1) introduziu VAPI 2.0. VAPI 2.0 não é suportado no Exchange 5.5. VAPI 1.0 e 2.0 VAPI suportam verificação sob demanda.

Quando você usa um VAPI scanner e um cliente tenta abrir uma mensagem, uma comparação é feita para certificar-se de que o corpo da mensagem e anexos foram examinados pelo arquivo de assinatura de vírus atual. Se o arquivo de assinatura ou de fornecedor atual não examinou o conteúdo, o componente correspondente mensagem é enviado para o fornecedor de software antivírus para verificação antes desse componente mensagem seja liberado para o cliente. O cliente pode estar usando um cliente MAPI convencional ou Internet de um cliente baseado no protocolo como, por exemplo, Post Office Protocol versão 3 (POP3), Microsoft Outlook Web Access (OWA), protocolo, versão 4rev1 (IMAP4).

No 2.0 VAPI, uma única fila processa todos os dados da mensagem corpo e anexo. Itens enviados a esta fila como "demanda" itens são enviados como itens de alta prioridade. Essa fila agora é atendida por uma série de segmentos com itens de alta prioridade sempre levando precedência. O número padrão de segmentos é 2 * 'number_of_processors' + 1. Isso torna possível para vários itens simultaneamente sejam enviados para o fornecedor. Além disso, threads de cliente não mais são ligados a valores de "tempo limite" que estão aguardando para ser liberado os itens. Após os itens são examinados e marcados como seguros, o segmento do cliente é notificado que o item está disponível. Por padrão, o segmento do cliente espera até três minutos para ser notificado da disponibilidade dos dados solicitados antes um tempo limite ocorre.

Um recurso mais recente no VAPI 2.0 é a verificação proativa baseada de mensagens. No VAPI 1.0, informações de anexo de mensagem foi digitalizadas apenas como ele foi usado. No 2.0 VAPI, itens são enviados para uma fila de armazenamento de informações comuns como eles são enviados para o armazenamento de informações. Cada um desses itens recebe uma baixa prioridade na fila, para que esses itens não interferem verificação dos itens de alta prioridade. Quando todos os itens de alta prioridade tiverem sido digitalizados, VAPI 2.0 começa a examinar itens de baixa prioridade. A prioridade dos itens é atualizada dinamicamente para alta prioridade se um cliente tenta usar o item enquanto o item está na fila de baixa prioridade. Um máximo de 30 itens pode existir ao mesmo tempo na fila de baixa prioridade, que é determinado no primeiro, primeiro out base.

Última área de aprimoramento no processo de verificação é verificação em segundo plano. No VAPI 1.0, a verificação em segundo plano é conduzido fazendo uma única passagem sobre a tabela de anexo e enviar anexos que não foram examinados pelo arquivo de assinatura ou de fornecedor atual diretamente para a DLL de antivírus. Cada um dos armazenamentos de informações particulares e públicos recebe um segmento para executar esta verificação de plano de fundo e após o segmento concluir uma passagem da tabela anexo, o segmento espera por uma reinicialização do processo de armazenamento de informações antes de conduzir outra passagem. No 2.0 VAPI, cada MDB (Messaging Database) ainda recebe um segmento para conduzir o processo de exame em segundo plano. No entanto, agora o processo de exame em segundo plano navega série de pastas que compõem a caixa de correio de cada usuário. Como itens que não foram examinados são encontrados, eles são enviados ao fornecedor e continua o processo de digitalização. Fornecedores de software antivírus também podem forçar uma verificação em segundo plano para iniciar por meio de um conjunto de chaves do Registro.

O recurso que foi mais solicitado para adição à VAPI 1.0 é a capacidade de fornecer detalhes da mensagem, para que os administradores do Exchange podem rastrear a existência de vírus, determinam como o vírus penetrou na organização e determinar quais usuários são afetados. Essa capacidade foi adicionada com VAPI 2.0 porque a verificação não mais diretamente com base fora da tabela de anexo.

Para melhorar a solução de VAPI, o Exchange 2000 Server SP1 implementa novos contadores do Monitor de desempenho VAPI Exchange que os administradores podem usar para controlar o desempenho da API de verificação de vírus. Esses contadores dar o administrador a capacidade de determinar quanta informação está sendo examinada e a taxa na qual as informações está sendo examinadas. Isso ajuda o administrador a servidores de escala com mais precisão.

O último recurso é o novo log de eventos é específico para o VAPI. Novos eventos são registrados incluem:

• Carregando e descarregando de DLLs do fornecedor.
• Digitalização bem-sucedida de itens.
• Vírus localizados no armazenamento de informações.
• Comportamento inesperado no VAPI.

Você pode determinar se você estiver usando um scanner VAPI procurando a seguinte chave do Registro: Essa chave do Registro não existe se um scanner VAPI não está instalado.

A seguir está um exemplo de um evento pôde ser registrado se o programa VSAPI verifica arquivos através do caminho //./backofficestorage/: Para obter mais informações sobre problemas que podem ocorrer se você digitalizar unidade M, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento:

Com base em ESE scanners

Com base em ESE scanners como algumas versões do Antigen usam uma interface entre o armazenamento de informações e o mecanismo de armazenamento extensível (ESE) que é suportado pela Microsoft. Quando você usar esse tipo de software, você corre o risco de banco de dados danos e perda de dados se há erros na implementação do software.


Durante a instalação, o scanner com base em ESE altera o serviço armazenamento de informações do Exchange Server para que seja dependente do serviço específico. Isso torna-se de que o serviço é iniciado antes do início do serviço armazenamento de informações do Exchange Server. Durante o processo de inicialização serviço do scanner verifica versões apropriadas de seu software e o Exchange Server e versões de arquivo apropriado. Se qualquer incompatibilidade for encontrada, Antigen desativa próprio software, permite o armazenamento de informações iniciar sem proteção antivírus e notifica os administradores.


Quando o scanner com base em ESE inicia com êxito, a versão da Microsoft do ESE.dll arquivo é renomeado temporariamente como Xese.dll e a versão do Antigen do arquivo ESE.dll substitui o arquivo original. Após a versão do Antigen do arquivo ESE.dll é carregada, a versão Microsoft é renomeada de volta para ESE.dll e o armazenamento de informações do Exchange Server está habilitado para concluir seu processo de inicialização.


Os clientes que contate o Atendimento Microsoft podem ser solicitados a desativar o serviço do Antigen para ajudar a identificar problemas, mas os clientes estão livres para habilitar o software de Antigen novamente após a causa do problema é diagnosticada corretamente.

Leituras adicionais

Para obter mais informações sobre software Virus Scanning que é usado com o Exchange, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento: Para obter informações mais recentes sobre vírus e alertas de segurança e fornecedores de software de proteção contra vírus, use os seguintes recursos:

Microsoft

ICSA

ICSA, uma afiliada GartnerGroup fornece serviços de garantia de segurança de Internet.

CERT Coordination Center

O CERT Coordination Center é parte da Survivable Systems Initiative no Software Engineering Institute, uma pesquisa nacionalmente patrocinado e Centro de desenvolvimento que é patrocinado pelo U.S. Department of Defense e operado pelo Carnegie Mellon University.

Rede Associates

Micro tendência

Computer Associates

Norton AntiVirus (Symantec)

A Microsoft fornece informações de contatos de terceiros para ajudar a encontrar suporte técnico. Informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações de contato de terceiros.
Os produtos de terceiros que este artigo discute são fabricados por empresas independem da Microsoft. Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou confiabilidade desses produtos.