Übersicht über Exchange Server 2003 und antivirus-software

Dieser Artikel enthält eine Übersicht über die verschiedenen Arten von Virus-Scan-Programme, die normalerweise für Microsoft Exchange Server verwendet werden 2003. Dieser Artikel listet die Vorteile, Nachteile und Fehlerbehebung Überlegungen für die verschiedenen Arten von Scannern. In diesem Artikel nicht Beschreiben Sie SMTP Simple Mail Transfer Protocol () Lösungen, die Filterung in der Regel installiert auf einem anderen Server als dem Exchange 2003. Computer.

Dateiscanner

Dateiscanner werden häufig verwendet können, und sie die meisten problematisch für die Verwendung mit Exchange 2003. Dateiscanner möglicherweise speicherresidente oder on-Demand:

• Speicherresidente bezieht sich auf ein Teil der antivirus-Software auf Dateiebene geladen wird im Speicher zu jeder Zeit. Dieser überprüft alle Dateien, die auf der Festplatte verwendet werden und im Arbeitsspeicher des Computers.
• Auf Abruf bedeutet, dass ein Teil der antivirus-Software auf Dateiebene Sie können Konfigurieren Sie, dass Dateien auf der Festplatte manuell oder nach einem Zeitplan. Es gibt Versionen von antivirus-Software, die auf-Anforderung-Scan starten automatisch, nachdem die Virensignaturen aktualisiert werden, um sicherzustellen, dass alle Dateien werden mit den neuesten Signaturen gescannt werden.

Die folgenden Probleme können auftreten, wenn Sie Dateiscanner verwenden mit Exchange 2003:

• Dateiscanner Scannen eine Datei, wenn die Datei verwendet wird oder bei einen regelmäßigen Abständen, und diese Scanner können Sperren oder isolieren ein Exchange-Protokoll oder eine Datenbankdatei während Exchange 2003 versucht, die Datei zu verwenden. Dieses Verhalten kann Ursache ein schwerwiegender Fehler in Exchange 2003 und kann auch generieren -1018 Störungen.
• Dateiscanner bieten keinen Schutz gegen E-Mail-Viren wie Melissa-Virus.
  
  Hinweis Das Melissa-Virus ist ein Microsoft Word-Makrovirus, der kann verbreiten Sie sich über e-Mail-Nachrichten. Das Virus sendet halten anstößige e-Mails Nachrichten an Adressen, die in persönlichen Adressbüchern von Microsoft gefunden Outlook-e-Mail-Clients. Viren können Daten zerstören.

Schließen Sie folgende Ordner vom Anforderungs-Datei-Ebene Scanner und resident Dateiscannern:

• Exchange-Datenbanken und Protokolldateien in allen Speichergruppen. Standardmäßig befinden sich diese im Ordner "Exchsrvr\Mdbdata".
• Exchange MTA-Dateien im Ordner "Exchsrvr\Mtadata".
• Zusätzliche Protokolldateien wie z. B. die Exchsrvr\server_name Verzeichnis.
• Ordner virtuellen Servers "Exchsrvr\Mailroot".
• Den Arbeitsordner, der zum Speichern von .tmp streaming verwendet wird Dateien, die zur Nachrichtenkonvertierung verwendet werden. Standardmäßig ist dieser Ordner "Exchsrvr\Mdbdata", aber der Speicherort ist konfigurierbar. Weitere Informationen finden Sie in der folgenden Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
  822936

  (http://support.microsoft.com/kb/822936/ )

  Nachrichtenfluss an der lokalen Übermittlungswarteschlange ist sehr langsam
• Die in Verbindung mit verwendeten temporären Ordners Offline-Wartungsprogrammen wie z.B. "Eseutil.exe". Standardmäßig ist dieser Ordner der Ort, wo die EXE-Datei ausgeführt wird, aber Sie können konfigurieren, wo, Sie Führen Sie die Datei aus, wenn Sie das Dienstprogramm ausführen.
• Standortreplikationsdienst (SRS) Dateien in der Ordner "Exchsrvr\Srsdata".
• Systemdateien (IIS = Microsoft-Internetinformationsdienste) im Ordner "% systemroot%\system32\inetsrv".
  
  Hinweis Sie können sowohl den gesamten Ordner "Exchsrvr" ausschließen On-Demand-Scannern und speicherresidente Dateiebene Scanner.
• Die Internet Information Services (IIS) 6.0-Komprimierung Ordner, die mit Outlook Web Access 2003 verwendet wird. Standardmäßig wird die Komprimierung Ordner in IIS 6.0 befindet sich unter %systemroot%\IIS Temporary Compressed Files.
  
  Weitere Informationen Informationen, klicken Sie in folgendem Artikel in der Microsoft Knowledge Base:
  817442

  (http://support.microsoft.com/kb/817442/ )

  IIS-Komprimierungsverzeichnis Virus Anti scannen 0-Byte-Datei möglicherweise
• Für Cluster, dem Quorum-Datenträger und die %Winnt%\Cluster Ordner.
• Alle messaging-antivirus-Programm-Ordner.
• Der Ordner Exchsrvr\Conndata.

Schließen Sie den Ordner, der die Prüfpunktdatei (CHK) aus resident Dateiscanner und on-Demand-Dateiebene Scanner.

Hinweis Auch wenn Sie die Exchange-Datenbanken und Protokolldateien zum neuen verschieben Standorte und diese Ordner ausschließen, kann die CHK-Datei immer noch gescannt werden. Für Weitere Informationen zum Scannen der CHK-Datei auftreten kann, klicken Sie auf die die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base anzuzeigen: Viele Dateiscanner unterstützen nun Scannen verarbeitet. Dies kann auch Exchange beeinträchtigen. Daher sollten Sie folgende Prozesse von Dateiscannern ausschließen:

• CDB.exe
• Cidaemon.exe
• Store.exe
• EMSMTA.exe
• MAD.exe
• "MSSearch.exe"
• "Inetinfo.exe"
• W3wp.exe

MAPI-Scanner

Die erste Generation von Virenscannern mit einem Exchange Agent basieren auf MAPI. Diese Scanner führen, die jedem Postfach eine MAPI-Anmeldung und das Scannen Sie nach bekannten Viren.

Der MAPI-Scanner hat folgende Vorteile gegenüber den Datei-basierte Scanner:

• Der MAPI-Scanner scannt nach e-Mail-Viren wie z. B. die Melissa-Virus.
• Der MAPI-Scanner das Exchange-Protokoll nicht beeinträchtigen. oder Datenbankdateien.

Der MAPI-Scanner hat folgende Nachteile:

• Der MAPI-Scanner kann eine infizierte E-mail-Nachricht nicht gescannt werden. Bevor ein Benutzer die e-Mail-Nachricht öffnet. Der MAPI-Scanner hindert kein Benutzer von eine infizierten E-mail-Nachricht öffnen, wenn der Scanner nicht an erster Stelle nicht die infizierte e-Mail-Nachricht zu erkennen.
• Der MAPI-Scanner kann keine ausgehenden Nachrichten überprüfen.
• Der MAPI-Scanner erkennt nicht den einzigen Exchange SIS-Filter. Daher kann scannt der Scanner einer einzelnen Nachricht viele Mal, wenn die gleiche Nachricht in mehreren Postfächern vorhanden ist. Aus diesem Grund die MAPI Scanner kann für die Überprüfung länger dauern.

Da der MAPI-Scanner, e-Mail-Viren erkennen kann, ist ein bessere Alternative als ein Scanner auf Dateiebene. Es gibt jedoch noch bessere Optionen verfügbar, die der MAPI-Scanner, und diese später in diesem beschrieben werden Artikel.

Virenscanner-API-Scanner

Es ist auch Virus Scanning Application Programming Interface (API) als Virus API (VAPI), Antivirus-API (AVAPI) oder Virenscanner-API bezeichnet (VSAPI).

Virenscanner-API 1.0 wurde in Microsoft Exchange eingeführt. Server 5.5 Service Pack 3 (SP3) und war standard bis zur Veröffentlichung von Exchange 2000 Viele Verbesserungen Virenscanner-API 1.0 wurden zur Verbesserung der Leistung mit Exchange Server. Weitere Informationen Klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft anzuzeigen. Knowledge Base:
Exchange 2000 Server Service Pack 1 (SP1) enthält Virenscanner-API 2.0. Virenscanner-API 2.0 wird nicht unterstützt Exchange Server 5.5. Virenscanner-API 1.0 und 2.0, die beide Virenscanner-API Scannen auf Anforderung zu unterstützen.

Exchange 2003 enthält jetzt Virus Scanning API 2.5. Virenscanner-API 2.5 umfasst die Funktionen des Virus Scanning API 2.0 zusätzlich zu folgenden Verbesserungen:

• Aufgrund der verbesserten Virenscan-API ermöglicht die Antivirensoftware auf Exchange 2003-Server ausgeführt wird, die keine residenten Exchange haben Postfächer (z. B. Gatewayserver oder Bridgeheadserver).
• Virenscanner-API 2.5 kann Anbieter von Antivirusprodukten Löschen von Nachrichten und Senden von Nachrichten an den Absender und zusätzliche Virenstatus Nachrichten können Clients den Infektionsstatus einer bestimmten besser anzeigen Nachricht.

Vom Hersteller Ihrer antivirus-Software für mehr Informationen zu Updates.

Wenn Sie einen Virus scanning API-Scanner verwenden und ein Client versucht, eine Nachricht zu öffnen, wird ein Vergleich durchgeführt, um sicherzustellen, dass der Nachrichtentext und die Anlage haben die aktuellen Viren gescannt wurden Signaturdatei. Wenn nicht der aktuellen Virensignaturdatei überprüft wurde die Inhalt, wird die entsprechende Nachrichtenkomponente Antivirus mitgeteilt Nachrichtenkomponente vor der Veröffentlichung dieser Nachrichtenkomponente zu der Client. Der Client kann einen konventionellen MAPI-Client oder ein Internet verwenden: Protokoll (IP)-basierter Client, wie z. B. Post Office Protocol, Version 3 (POP3) Microsoft Outlook Web Access (OWA) und Internet Message Access Protocol, Version 4rev1 (IMAP4).

2.0 Virenscanner-API und Virenscanner-API 2.5 verarbeitet alle Nachricht Nachrichtentext und-Anlagen Daten mithilfe einer einzigen Warteschlange. On-Demand-Elemente, die an diese Warteschlange übermittelt werden, werden mit hoher Priorität markiert. In Exchange 2003 wird diese Warteschlange nun von einer Reihe von Threads, bedient und Elemente mit hoher Priorität haben immer Vorrang. Die Standardanzahl von Threads ist 2 Mal Anzahl der Prozessoren Plus 1. Dies macht es möglich für mehrere Elemente an an die Fremdanbieter-Software übermittelt werden gleichzeitig. Außerdem sind Clientthreads nicht auf Timeoutwerte gebunden, die Warten auf Elemente freigegeben werden. Nachdem Sie Elemente werden gescannt und sicher, die Client-Thread wird benachrichtigt, dass das Element verfügbar ist. Standardmäßig wird der client Thread wartet, bis zu drei Minuten über die Verfügbarkeit informiert werden die angeforderten Daten, bevor ein Timeout auftritt.

Virenscanner-API 2.0 und Virenscanner-API 2.5 beinhalten eine proaktive Überprüfung von Nachrichten. In Virenscanner-API 1.0, Informationen über die Anlage wird nur überprüft, wenn es ist verwendet. In Virenscanner-API 2.0 und Virenscanner-API 2.5 werden Elemente übermittelt. Speichern Sie Warteschlange eine allgemeine Informationen wie sie die Informationen vorgelegt werden Speichern. Jedes dieser Elemente erhält eine niedrige Priorität in der Warteschlange, so dass diese Elemente beeinträchtigen mit der Überprüfung der Elemente mit hoher Priorität nicht. Wenn alle die Elemente mit hoher Priorität wurden gescannt, Virenscanner-API 2.0 bzw. Virus Scanning API 2.5 beginnt mit niedriger Priorität Elemente zu scannen. Die Priorität der Elemente wird dynamisch auf hohe Priorität aktualisiert, wenn ein Client versucht, das Element zu verwenden während das Element in der Warteschlange mit niedriger Priorität ist. An kann maximal 30 Elemente vorhanden. sind gleichzeitig in der Warteschlange mit niedriger Priorität und den Inhalt der Warteschlange zunächst bestimmt nach dem First-in, out-Prinzip.

Virenscanner-API 2.0 und Virenscanner-API 2.5 beinhalten eine bessere Hintergrundüberprüfung. In Virenscanner-API 1.0, Hintergrund-Scan wird durchgeführt von einem einzigen ausführenden über die Tabelle "Dateianhang" übergeben. Virenscanner-API 1.0 sendet dann Anlagen die nicht von der aktuellen Fremdanbieter-Software oder die Signatur gescannt die Datei direkt in der antivirus-dynamic-Link Library (DLL). Jeder der privaten Informationsspeicher und Öffentliche Informationsspeicher erhält einen Thread ausführen Dieser Hintergrundscan. Nachdem der Thread einen Durchlauf durch die Anlagentabelle Abschluss der Thread wartet auf einen Neustart des Informationsspeicher-Prozesses vor führt einen weiteren Durchlauf. In Virenscanner-API 2.0 und 2.5 Virenscanner-API, jede Messaging-Datenbank erhält weiterhin einen Thread für den Hintergrund durchführen Scan-Vorgang. In Exchange 2003 die Hintergrundüberprüfung jedoch der Ordner, aus denen sich das Postfach jedes Benutzers navigiert. Als Objekte, die nicht gescannt werden gefunden, sie einzureichen sind die Antivirus Hersteller Produkt und der Überprüfungsprozess wird fortgesetzt. Antivirus-Software-Anbieter Produkte können der Start eines Hintergrund-Scans auch über eine Reihe von erzwingen. Registry-Schlüssel.

Die Funktion, die am häufigsten geforderte Funktionserweiterung gegenüber Virenscanner-API 1.0 betrifft die Möglichkeit, dass Nachrichtendetail-so, dass Exchange Administratoren können die Existenz von Viren nachzuverfolgen, die bestimmen, wie Viren die Organisation eingedrungen und welche Benutzer betroffen sind. Dies Feature wurde in Virenscanner-API 2.0 hinzugefügt, weil Scannen nicht mehr direkt basiert auf der Anlagentabelle.

Virenscanner-API Systemmonitor-Leistungsindikatoren können zum Überwachen der Leistung des Virus verwendet werden Scanning API und zur Verbesserung der Problembehandlung in Virenscanner-API 2.0 und Virus Scanning API 2.5. Mithilfe dieser Indikatoren der Administrator kann bestimmen, wie viele Informationen gescannt wird und wie schnell diese Information wird gescannt. Dadurch wird den Administrator Server genauer skalieren.

Virenscanner-API 2.0 und Virenscanner-API 2.5 beinhalten auch Ereignis die Protokollierung ist spezifisch für die Virus scanning API. Die protokollierten Ereignisse gehören:

• Die Ladung und Entladung von Fremdanbieter-DLLs.
• Erfolgreiche Überprüfungen von Elementen.
• Viren, die sich in der Informationen Speichern.
• Unerwartetes Verhalten in der Virus scanning API.

ESE-Scanner

ESE-Basis Scanner, wie z. B. bestimmte Versionen von Antigen nutzen eine Schnittstelle zwischen der Informationsspeicher und der ESE Extensible Storage Engine (), die von Microsoft. Wenn Sie diese Art von Software verwenden, riskieren Sie der Datenbank Schäden und Datenverluste treten Fehler in der Implementierung der Software.

Während der Installation verändert der ESE Scanner die Exchange Server Information Store service, so dass sie die spezifischen abhängig ist Service. Dadurch wird sichergestellt, dass der Dienst gestartet, bevor wird die Exchange Server Informationsspeicher-Dienst gestartet wird. Während des Startvorgangs der Scanner die Service-Prüfungen nach entsprechenden Versionen seiner Software und Exchange Server und entsprechenden Dateiversionen. Wenn eine Inkompatibilität gefunden wird, wird das Antigen Software selbst deaktiviert, können den Informationsspeicher Starten ohne Virenschutz und benachrichtigt dann die Administratoren.


Wenn die ESE Scanner gestartet wird erfolgreich, die Microsoft-Version der "ESE.dll" Datei wird vorübergehend in "Xese.dll" und die Antigen-Version von umbenannt die Datei "ESE.dll" ersetzt die Ursprungsdatei. Nachdem die Antigen-Version von der Datei "ESE.dll" geladen wird, wird die Microsoft-Version wieder in "ESE.dll" umbenannt und Exchange Server-Informationsspeicher wird aktiviert, um den Startvorgang abgeschlossen Prozess.


Kunden, die Microsoft Product Support Services anrufen Services möglicherweise aufgefordert, den Antigen-Dienst zum Identifizieren von Problemen deaktivieren, werden aber die Antigen-Software nach den Stamm wieder aktivieren Ursache des Problems ist richtig diagnostiziert.

Weiterführende Literatur

Weitere Informationen Antiviren-Software, die mit Exchange verwendet wird, klicken Sie auf den folgenden Artikel Zahlen, um die Artikel der Microsoft Knowledge Base anzuzeigen: Für die neuesten Informationen zu Virus- und Sicherheitswarnungen und zu Antivirenprogrammen, besuchen Sie die folgende Microsoft und Fremdanbieter Websites:

MicrosoftICSA

ICSA bietet Labs, ein Unternehmensbereich von TruSecure Corporation, Internet Security Assurance-Services.CERT Coordination Center

Das CERT Coordination Center ist Teil der Survivable Systeminitiative am Software Engineering Institute, einem staatlich geförderten Forschungs- und Entwicklungszentrum, das vom U.S. Department of finanziert wird Verteidigung und von der Carnegie Mellon University betrieben.Computer Incident Advisory Capability

Computer Incident Advisory Capability bietet auf Abruf Websites, technische Hilfe und Informationen zum Department of Energy (DOE) Erleben Sie sicherheitsrelevante Vorfälle.McAfeeTrend MicroComputer AssociatesSymantec (Mail Security für Exchange, Symantec Antivirus und Norton AntiVirus)

Microsoft stellt Kontaktinformationen von Drittanbietern, technische finden Sie unterstützen. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft verlangt keinerlei Gebühren garantieren Sie die Richtigkeit dieser Kontaktinformationen von Drittanbietern.

Die Produkte von Drittanbietern, die in diesem Artikel behandelt werden hergestellt von Unternehmen, die von Microsoft unabhängig sind. Microsoft übernimmt keine Garantie, weder ausdrücklich noch konkludent, hinsichtlich der Leistung oder Zuverlässigkeit Diese Produkte.