Exchange 和防毒軟體

文章翻譯 文章翻譯
文章編號: 328841 - 檢視此文章適用的產品。
重要 本文中的資訊將告訴您,如何補救較低安全性的設定,或關閉電腦上的安全性功能。您可以進行這些變更,為特定的問題尋求解決方案。在進行這些變更之前,建議您先評估在特定環境中使用此解決方案的相關風險。如果您決定使用此解決方案,請採用任何其他的適當步驟,以協助保護您的系統。
全部展開 | 全部摺疊

在此頁中

結論

本文提供有關一般搭配 Exchange 2000 Server 使用的不同病毒掃描程式類型的概觀。文中將列出不同類型掃描程式的優缺點和疑難排解注意事項。本文將不會提供 SMTP 篩選方案的相關說明 (此種方案通常安裝在與 Exchange 2000 Server 電腦以外的網路伺服器上)。

檔案層級掃描程式

案層級掃描程式的使用相當廣泛,但與 Exchange 2000 Server 搭配使用時最容易發生問題。檔案層級掃描程式可能為「記憶體駐留」或「視需要」:
  • 「記憶體駐留」是指,隨時載入記憶體的檔案層級防毒軟體組件。它會檢查硬碟及電腦記憶體上所使用的所有檔案。
  • 「視需要」是指,可以設定來掃描 (手動或按照排程) 硬碟檔案的檔案層級防毒軟體組件。請注意,有些防毒軟體版本在病毒碼更新之後便自動啟動「視需要」掃描,以確定所有檔案都已經使用最新病毒碼加以掃描。
與 Exchange 2000 Server 搭配使用檔案層級掃描程式時,可能會發生下列問題:
  • 檔案層級掃描程式會在使用檔案時或按照排定的時間間隔來掃描檔案,並且可能在 Exchange 嘗試使用 Exchange 記錄檔或資料庫檔案時鎖定或隔離這些檔案。這可能在 Exchange 2000 Server 中造成伺服器失敗,也可能產生 -1018 錯誤。
  • 如果您使用檔案層級掃描程式軟體掃描 M 磁碟機,可能會發生更多問題。

    下列範例說明當檔案層級掃描程式掃描 M: 磁碟機時,可能記錄下來的事件:

    事件識別碼: 6 來源: Norton Antivirus 找不到事件識別碼 (6) (在來源 Norton AntiVirus 中) 的描述。本機電腦可能沒有所需的登錄資訊或訊息 DLL 檔案,因此無法顯示發自遠端電腦的訊息。
    
    Scan could not open file M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML (掃描無法開啟檔案 M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML)

  • 檔案層級掃描程式不提供對電子郵件病毒 (例如 Melissa 病毒) 的防護。

    注意:Melissa 病毒是可以透過電子郵件自行傳播的 Microsoft Word 巨集病毒。病毒會將不適當的電子郵件傳送至 Microsoft Outlook 郵件用戶端個人通訊錄中找到的地址。類似的病毒可能造成資料毀損。
從「視需要」及「記憶體駐留」檔案層級掃描程式中排除下列資料夾:
  • Exchange 2000 Server M 磁碟機。
  • Exchange 資料庫和記錄檔。根據預設值,這些檔案位於 Exchsrvr\Mdbdata 資料夾中。
  • 位於 Exchsrvr\Mtadata 資料夾的 Exchange MTA 檔案。
  • 其他記錄檔,例如 Exchsrvr\server_name.log 檔案。
  • Exchsrvr\Mailroot 虛擬伺服器資料夾。
  • 用來儲存資料流暫存檔 (供訊息轉換使用) 的工作資料夾。根據預設,這個資料夾位於 \Exchsrvr\MDBData,但您也可以設定其位置。
  • 配合離線維護公用程式 (例如 Eseutil.exe) 使用的暫存資料夾。根據預設值,這個資料夾是執行 .exe 檔案所在的位置,但您可以在執行公用程式時設定執行檔案所在的位置。
  • Exchsrvr\Srsdata 資料夾中的站台複寫服務 (SRS) 檔案。
  • %SystemRoot%\System32\Inetsrv 資料夾中的 Microsoft Internet Information Services (IIS) 系統檔案。

    注意:通常將 Exchsrvr\address、Exchsrvr\bin、Exchsrvr\Exchweb、Exchsrvr\Res 和 Exchsrvr\Schema 資料夾納入掃描中並無妨,然而,您可以將整個 Exchsrvr 資料夾,從「視需要」及「記憶體駐留」檔案層級掃描程式中排除。我們強烈建議您,在執行作業系統與 Exchange 升級時,最好暫時停用檔案掃描軟體;這些情況包括升級到新版本的 Exchange 或作業系統,以及套用任何 Exchange 或作業系統的修正程式或 Service Pack。
如需有關工作資料夾的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
822936 Message Flow to the Local Delivery Queue Is Very Slow
從「視需要」及「記憶體駐留」檔案層級掃描程式中排除下列檔案類型:
  • .edb
  • .stm (在 Exchange 2000 Server 上)
  • .log
從「記憶體駐留」及「視需要」掃描程式中排除含有檢查點 (.chk) 檔案的資料夾。

注意:即使將 Exchange 資料庫和記錄檔移至新位置並排除那些資料夾,.chk 檔案仍有可能被掃描。 如需有關掃描 .chk 檔案時可能發生狀況的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
253111 Error events are logged when the Exchange Server database service is denied write access to its own .edb files or to the .chk file
176239 XADM: Database Won't Start; Circular Logging Deleted Log File Too Soon

MAPI 掃描程式

包含 Exchange 代理程式的第一代病毒掃描程式是以 MAPI 為基礎的。這些掃描程式會對每個郵件信箱執行 MAPI 登入,然後從中掃描已知病毒。

MAPI 掃描程式具有下列勝於檔案掃描程式的優勢:
  • MAPI 掃描程式可以掃描電子郵件病毒,例如 Melissa 病毒。
  • MAPI 掃描程式不會干擾 Exchange 記錄檔或資料庫檔案。
MAPI 掃描程式有下列缺點:
  • 在使用者開啟電子郵件之前,MAPI 掃描程式可能不會掃描感染的電子郵件。如果 MAPI 掃描程式沒有先偵測到感染的電子郵件,就不會阻止使用者開啟感染的電子郵件。
  • MAPI 掃描程式無法掃描輸出郵件。
  • MAPI 掃描程式無法辨識 Exchange「單一例項存放」(Single Instance Storage) 篩選器,所以如果相同的郵件存在於多個郵件信箱中,掃描程式可能會多次掃描同一個郵件。因此,MAPI 掃描程式可能需要更久的時間來執行掃描。
因為 MAPI 掃描程式可以偵測電子郵件病毒,所以是比檔案層級掃描程式較好的選擇。然而,還有更好的選擇可以使用,本文稍後將會加以說明。

VAPI、AVAPI 或 VSAPI 掃描程式

病毒應用程式發展介面 (Virus Application Programming Interface) 或病毒 API (VAPI) 也稱為防毒 API (AVAPI) 或病毒掃描 API (VSAPI)。

Exchange Server 5.5 Service Pack 3 (SP3) 中引入了 VAPI 1.0,並且一直延用到 Exchange 2000 Server。VAPI 1.0 上做了許多的改良,可以增進 Exchange Server 5.5 的效能。 如需有關這個主題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
248838 XADM: Exchange Server 5.5 Post-SP3 Information Store Fixes Available
Exchange 2000 Server Service Pack 1 (SP1) 引入了 VAPI 2.0。Exchange 5.5 中不支援 VAPI 2.0。VAPI 1.0 及 VAPI 2.0 都支援視需要掃描。

當您使用 VAPI 掃描程式,並且用戶端嘗試開啟郵件時,便會進行比較,以確定已經根據最新的病毒簽章檔案掃描郵件內文及附件。如果目前廠商或簽章檔案尚未掃描內容,在提供對應的郵件元件給用戶端之前,會先將該郵件元件送交防毒軟體廠商以進行掃描。用戶端可能使用傳統的 MAPI 用戶端或網際網路通訊協定用戶端,例如「郵局通訊協定第 3 版」(Post Office Protocol 3,POP3)、Microsoft Outlook Web Access (OWA)、「網際網路訊息存取通訊協定,第 4 版第 1 次修訂」(Internet Message Access Protocol, Version 4rev1,IMAP4)。

在 VAPI 2.0 中,單一佇列會處理所有郵件內文及附件資料。提交至這個佇列的「視需要」項目,會被當做高優先順序項目來提交。這個佇列目前是由一連串具高優先順序項目的執行緒來處理,並且始終會有優先權。執行緒預設數目為 2 * 'number_of_processors' + 1。這樣便可以同時送交多個項目給廠商。用戶端執行緒也不再受到等待項目發行時之「逾時」值的限制。在掃描過項目並將其標記為安全之後,即通知用戶端執行緒可以使用該項目。根據預設值,用戶端執行緒要等候三分鐘之久,才能在逾時發生之前獲得可否使用要求之資料的通知。

VAPI 2.0 中的最新功能為訊息的主動式掃描。在 VAPI 1.0 中,郵件附件資訊只有在使用時才會加以掃描。在 VAPI 2.0 中,項目在提交給資訊儲存庫時,是提交給一般資訊儲存庫佇列。在佇列中的每一項目都被定為低優先順序,所以這些項目不會干擾高優先順序項目的掃描。VAPI 2.0 在掃描所有高優先順序項目之後,才會開始掃描低優先順序項目。如果用戶端在項目處於低優先順序佇列時嘗試使用該項目,則項目的優先順序會動態升級為高優先順序。在低優先順序佇列中一次最多可以有 30 個項目存在,其順序按「先進先出」基準來決定。

掃描處理序中的最後一項改善是背景掃描。在 VAPI 1.0 中,背景掃描的處理方式為:先概略檢查附件表一次,然後將未經目前廠商或簽章檔案掃描的附件直接送交給防毒 DLL。每個私用及公用資訊儲存庫都會接到一個執行緒來執行這個背景掃描,而執行緒完成附件表的概略檢查之後,會等到資訊儲存庫處理序重新啟動,才進行另一次概略檢查。在 VAPI 2.0 中,每個訊息資料庫 (Messaging Database,MDB) 仍然會接到一個執行緒來執行背景掃描處理序。不過背景掃描處理序現在會瀏覽一連串構成每個使用者郵件信箱的資料夾。掃描處理序遇到未經掃描的項目時便送交給廠商,然後再繼續執行。防毒軟體廠商也可能根據一組登錄機碼來強制背景掃描啟動。

最常被要求加強的 VAPI 1.0 功能為提供訊息詳細資訊的能力,如此可以讓 Exchange 系統管理員追蹤病毒的存在,判斷病毒滲透組織的方式,以及確定受到影響的使用者。此功能已加入 VAPI 2.0,因為掃描已不再直接依據附件表。

為了加強 VAPI 的疑難排解,Exchange 2000 Server SP1 含有新的「VAPI 效能監視」計數器,可供 Exchange 系統管理員用來追蹤病毒掃描 API 的效能。這些計數器讓系統管理員能夠判斷掃描中的資訊多寡及相關掃描速度。這樣可以協助系統管理員更精確地校調伺服器。

最後一項功能是專屬於 VAPI 的新事件記錄。所記錄的新事件包括:
  • 廠商 DLL 的載入與卸載。
  • 成功的項目掃描。
  • 資訊儲存庫中找到的病毒。
  • VAPI 中發生的意外問題。
只要查看下列登錄機碼,即可判斷是否正在使用 VAPI 掃描程式:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
如果沒有安裝 VAPI 掃描程式,這個登錄機碼就不存在。

以下範例說明當 VSAPI 程式透過 //./backofficestorage/ 路徑掃描檔案時,可能記錄下來的事件:

事件識別碼: 2045 來源: McAfee GroupShield 找不到事件識別碼 (2045) (在來源 McAfee GroupShield 中) 的描述。本機電腦可能沒有所需的登錄資訊或訊息 DLL 檔案,因此無法顯示發自遠端電腦的訊息。

The On-Demand 4 Hours Cycle scanner failed to scan the item 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject.EML' with error 80040e19. (視需要的 4 小時循環掃描程式無法掃描項目 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject.EML',而發生錯誤 80040e19)

如需有關掃描 M 磁碟機時所可能發生問題的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
299046 XADM:行事曆項目從使用者資料夾消失
300608 XADM:當您嘗試裝載資料庫時發生 "C1041737" 錯誤並出現事件識別碼 470 訊息
307824 You Cannot Install the Exchange Notifications Component on Drive M of an Exchange 2000 Server
298924 因為備份或掃描 Exchange 2000 M 磁碟機而發生的問題

ESE 掃描程式

ESE 掃描程式 (例如某些版本的 Antigen) 使用資訊儲存庫和 Microsoft 所支援的 Extensible Storage Engine (ESE) 之間的介面。當您使用這種類型的軟體時,如果軟體的實作中有錯誤,您將承擔資料庫毀損及資料遺失的風險。


在安裝期間,ESE 掃描程式會變更 Exchange Server Information Store 服務以依存於特定服務。這可確保服務會在 Exchange Server Information Store 服務啟動之前啟動。在啟動過程中,掃描程式的服務會檢查軟體和 Exchange Server 的適當版本,以及適當的檔案版本。如果發現有不相容的情況,Antigen 軟體會自行停用,允許資訊儲存庫以沒有防毒保護的方式啟動,然後再通知系統管理員。


當 ESE 掃描程式成功啟動時,Microsoft 版本的 Ese.dll 檔案會暫時改名為 Xese.dll,而由 Antigen 版本的 Ese.dll 檔案取代原始檔案。載入 Antigen 版本的 Ese.dll 檔案之後,Microsoft 版本會再次重新命名為 Ese.dll,並且啟用 Exchange Server 資訊儲存庫來完成啟動過程。


「Microsoft 技術支援處」可能會要求洽詢的客戶停用 Antigen 服務以便識別問題,但在正確診斷出問題癥結之後,客戶就可以隨時重新啟用 Antigen 軟體。

其他參考資料

如需有關可搭配 Exchange Server 使用之病毒掃描軟體的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
285667 XADM: Understanding Virus Scanning API 2.0 in Exchange 2000 Server SP1
298924 因為備份或掃描 Exchange 2000 M 磁碟機而發生的問題
245822 XGEN:對於已安裝防毒軟體的 Exchange 電腦疑難排解建議
253111 Error events are logged when the Exchange Server database service is denied write access to its own .edb files or to the .chk file
176239 XADM: Database Won't Start; Circular Logging Deleted Log File Too Soon
如需有關病毒和安全性警示以及防毒軟體廠商的最新資訊,請使用下列資源:

Microsoft

http://www.microsoft.com/taiwan/default.aspx

ICSA

ICSA (GartnerGroup 的分支機構) 提供網際網路安全性保證服務。
http://www.icsa.net/

CERT 協調中心

CERT 協調中心是「軟體工程協會」(Software Engineering Institute) 所轄生存系統協進會 (Survivable Systems Initiative) 的部門 (由美國國防部贊助並由 Carnegie Mellon 大學經營的聯邦資助的研究與開發中心)。
http://www.cert.org

Computer Incident Advisory Capability

Computer Incident Advisory Capability 為遇到電腦安全性事件的美國能源部 (Department of Energy,DOE) 站台,提供隨叫隨到技術協助及資訊。
http://www.ciac.org

Network Associates

http://www.nai.com

Trend Micro

http://www.antivirus.com

Computer Associates

http://ca.com/virusinfo

Norton AntiVirus (Symantec)

http://www.symantec.com/zh/tw/index.jsp
Microsoft 提供協力廠商的連絡資訊,以協助您找出技術支援。此連絡資訊若有變更,恕不另行通知。Microsoft 不保證這些協力廠商連絡資訊的正確性。
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。Microsoft 不以暗示或其他方式,提供與這些產品的效能或可靠性有關的保證。

屬性

文章編號: 328841 - 上次校閱: 2007年2月15日 - 版次: 11.1
這篇文章中的資訊適用於:
  • Microsoft Exchange 2000 Server Standard Edition
關鍵字:?
kb3rdparty kbenv kbinfo KB328841
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com