Überblick über Exchange Server 2003 und Antivirus-Software

Dieser Artikel bietet einen Überblick über die verschiedenen Antivirenprogramme, die normalerweise für Microsoft Exchange Server 2003 verwendet werden. Der Artikel informiert über Vorteile, Nachteile und Punkte, die bei der Problembehebung mit den verschiedenen Arten von Scannern zu beachten sind. Es werden keine Filterlösungen mithilfe von SMTP (Simple Mail Transfer Protocol) beschrieben, da diese normalerweise auf einem anderen Server als dem Exchange 2003-Computer installiert werden.

Dateiscanner

Dateiscanner werden häufig verwendet, sind jedoch möglicherweise am problematischsten für den Gebrauch mit Exchange 2003. Dateiscanner können entweder speicherresident sein oder bei Bedarf bereitgestellt werden:

• Speicherresident bedeutet, dass ein Teil der Antivirus-Software auf Dateiebene permanent im Speicher geladen ist. Sie überprüft alle Dateien, die auf der Festplatte und im Arbeitsspeicher benutzt werden.
• Auf Abruf bedeutet, dass ein Teil der Antivirus-Software auf Dateiebene für das Scannen von Dateien auf der Festplatte, entweder manuell oder in regelmäßigen Abständen, konfiguriert werden kann. Es gibt Antivirus-Software, die das Scannen auf Abruf nach der Aktualisierung von Virensignaturen automatisch startet, um sicherzustellen, dass alle Dateien mit den neuesten Signaturen gescannt werden.

Folgende Probleme können auftreten, wenn Sie Dateiscanner mit Exchange 2003 verwenden:

• Dateiscanner scannen eine Datei dann, wenn diese benutzt wird, oder in regelmäßigen Abständen, und diese Scanner können ein Exchange-Protokoll oder eine Datenbankdatei blockieren oder unter Quarantäne stellen, während Exchange 2003 versucht, diese Datei zu benutzen. Dieses Verhalten kann in Exchange 2003 zu einem schweren Fehler führen und außerdem -1018-Fehler generieren.
• Dateiscanner bieten keinen Schutz gegen E-Mail-Viren wie den Melissa-Virus.
  
  Hinweis: Der Melissa-Virus ist ein Microsoft Word-Makrovirus, der durch E-Mail-Nachrichten übertragen wird. Der Virus sendet unerwünschte E-Mail-Nachrichten an Adressen, die er in persönlichen Adressbüchern von Microsoft Outlook-E-Mail-Clients findet. Diese Art von Viren kann Daten zerstören.

Schließen Sie folgende Ordner vom Scanvorgang aus, sowohl bei Dateiscannern, die auf Abruf ausgeführt werden, als auch bei speicherresidenten Dateiscannern:

• Exchange-Datenbanken und Protokolldateien in allen Speichergruppen. Standardmäßig befinden sich diese im Ordner "Exchsrvr\Mdbdata".
• Exchange MTA-Dateien im Ordner "Exchsrvr\Mtadata".
• Zusätzliche Protokolldateien, wie das Verzeichnis "Exchsrvr\server_name.log".
• Den Ordner des virtuellen Servers "Exchsrvr\Mailroot".
• Den Arbeitsordner zum Speichern von .tmp-Streamingdateien, die zur Nachrichtenkonvertierung verwendet werden. Dieser Ordner ist standardmäßig "Exchsrvr\Mdbdata"; der Speicherort kann jedoch konfiguriert werden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
  822936  (http://support.microsoft.com/kb/822936/DE/ ) Nachrichtenfluss an der lokalen Übermittlungswarteschlange ist sehr langsam
• Den temporären Ordner, der gemeinsam mit Offline-Wartungsprogrammen wie z. B. "Eseutil.exe" benutzt wird. Standardmäßig ist dies der Ordner, von dem aus die EXE-Datei ausgeführt wird; Sie können beim Ausführen des Wartungsprogramms jedoch den Ort, von dem aus diese Datei ausgeführt wird, konfigurieren.
• Dateien des Standortreplikationsdienstes im Ordner "Exchsrvr\Srsdata".
• Microsoft IIS-Systemdateien (IIS = Internet-Informationsdienste) im Ordner "%SystemRoot%\System32\Inetsrv".
  
  Hinweis: Sie sollten eventuell den gesamten Ordner "Exchsrvr" ausschließen, sowohl bei Dateiscannern, die auf Abruf ausgeführt werden (On-Demand-Scannern), als auch bei speicherresidenten Dateiscannern.
• Den komprimierten IIS 6.0-Ordner, der mit Outlook Web Access 2003 verwendet wird (IIS = Internet-Informationsdienste). Der komprimierte Ordner befindet sich in IIS 6.0 standardmäßig unter "%systemroot%\IIS Temporary Compressed Files".
  
  Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
  817442  (http://support.microsoft.com/kb/817442/DE/ ) IIS 6.0: zu 0-Byte Datei kann II-Komprimierungsverzeichnis Virus Anti scannen führen
• Für Cluster, Quorumdatenträger und für den Ordner "%Winnt%\Cluster".
• Alle Ordner mit Antivirenprogrammen für Messaging
• Den Ordner "Exchsrvr\Conndata"

Schließen Sie den Ordner, der die Checkpoint- (.chk)-Datei enthält, von speicherresidenten Dateiscannern und von On-Demand-Scannern aus.

Hinweis: Auch wenn Sie die Exchange-Datenbanken und -Protokolldateien an einen anderen Speicherort verschieben und diese Ordner ausschließen, kann die CHK-Datei möglicherweise gescannt werden. Weitere Informationen zu dem Verhalten, das beim Scannen der CHK-Datei auftreten kann, finden Sie in folgenden Artikeln der Microsoft Knowledge Base: Viele Dateiscanner unterstützen nun Scanprozesse. Dies kann sich auch nachteilig auf Exchange auswirken. Deshalb sollten Sie folgende Prozesse von Dateiscannern ausschließen:

• Cdb.exe
• Cidaemon.exe
• Store.exe
• Emsmta.exe
• Mad.exe
• Mssearch.exe
• Inetinfo.exe
• W3wp.exe

MAPI-Scanner

Die erste Generation von Virenscannern mit einem Exchange-Agenten basiert auf MAPI. Diese Scanner führen für jedes Postfach eine MAPI-Anmeldung durch und durchsuchen es dann nach bekannten Viren.

Der MAPI-Scanner hat folgende Vorteile gegenüber dem Dateiscanner:

• Er kann nach E-Mail-Viren wie dem Melissa-Virus suchen.
• Der MAPI-Scanner steht nicht im Konflikt mit dem Exchange-Protokoll oder den Datenbankdateien.

Der MAPI-Scanner hat folgende Nachteile:

• Er überprüft eine infizierte E-Mail-Nachricht möglicherweise nicht, bevor sie vom Benutzer geöffnet wird. Der MAPI-Scanner hindert einen Benutzer nicht am Öffnen einer infizierten E-Mail-Nachricht, wenn der Scanner diese Nachricht nicht zuvor als infiziert erkennt.
• Der MAPI-Scanner kann keine ausgehenden Nachrichten überprüfen.
• Der MAPI-Scanner erkennt den SIS-Filter (SIS = Single Instance Storage) von Exchange nicht und scannt daher möglicherweise eine Nachricht mehrmals, wenn sie in mehreren Postfächern vorhanden ist. Daher braucht der MAPI-Scanner mehr Zeit für den Scanvorgang.

Der MAPI-Scanner ist eine bessere Lösung als ein Dateiscanner, da er E-Mail-Viren erkennen kann. Es gibt jedoch noch bessere Optionen als den MAPI-Scanner. Diese werden im Folgenden beschrieben.

Antivirus-API-Scanner

Das Antivirus-API (AVAPI) wird auch als Virus API (VAPI) oder Virus Scanning API (VSAPI) bezeichnet.

Virus Scanning API 1.0 wurde mit Microsoft Exchange Server 5.5 Service Pack 3 (SP3) eingeführt und war Standard bis zur Freigabe von Exchange 2000. Seither wurden viele Verbesserungen bei Virus Scanning API 1.0 vorgenommen, um die Leistung unter Exchange Server zu verbessern. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
Exchange 2000 Server Service Pack 1 (SP1) enthält Virus Scanning API 2.0. Virus Scanning API 2.0 wird von Exchange Server 5.5 nicht unterstützt. Sowohl Virus Scanning API 1.0 als auch Virus Scanning API 2.0 unterstützen On-Demand-Scanning.

Exchange 2003 enthält jetzt Virus Scanning API 2.5. Virus Scanning API 2.5 umfasst die Funktionen von Virus Scanning API 2.0 zusätzlich zu folgenden Verbesserungen:

• Aufgrund der verbesserten Virenscan-API können Antivirenprogramme auf Exchange 2003-Servern ausgeführt werden, die keine residenten Exchange-Postfächer haben (z. B. Gateway-Server oder Bridgehead-Server).
• Virus Scanning-API 2.5 ermöglicht es Antivirenprogrammen, Nachrichten zu löschen und Nachrichten an den Absender zu schicken. Zusätzliche Virenstatusmeldungen ermöglichen es Clients, den Infektionsstatus einer bestimmten Nachricht genauer anzugeben.

Setzen Sie sich mit dem Hersteller Ihrer Antivirus-Software in Verbindung, um weitere Informationen über Updates zu erhalten.

Wenn Sie einen Virus Scanning API-Scanner benutzen und ein Client versucht, eine Nachricht zu öffnen, wird ein Vergleich durchgeführt, um sicherzustellen, dass der Textkörper und der Anhang von der aktuellen Virensignaturdatei überprüft wurden. Wenn der Inhalt nicht anhand der aktuellen Virensignaturdatei überprüft wurde, wird die entsprechende Nachrichtenkomponente vor der Weiterleitung an den Client an die Fremdanbieter-Antivirensoftware übermittelt. Der Client kann einen konventionellen MAPI-Client oder einen Client auf Internetprotokoll (IP)-Basis benutzen, z. B. Post Office Protocol, Version 3 (POP3), Microsoft Outlook Web Access (OWA) und Internet Message Access Protocol, Version 4rev1 (IMAP4).

Virus Scanning API 2.0 und Virus Scanning API 2.5 verarbeiten den gesamten Textkörper und die Daten im Anhang in einer einzigen Warteschlange. "Auf-Abruf"-Elemente, die an diese Warteschlange übermittelt werden, werden mit hoher Priorität eingereiht. In Exchange 2003 wird diese Warteschlange nun von einer Reihe von Threads verarbeitet, und Elemente mit hoher Priorität werden immer zuerst behandelt. Die Anzahl von Threads ist standardmäßig 2 x die Anzahl_von_Prozessoren plus 1. Auf diese Art können der Fremdanbieter-Antivirensoftware mehrere Elemente gleichzeitig zugeschickt werden. Außerdem sind Client-Threads nicht an "Zeitlimit"-Werte gebunden, die auf die Freigabe von Elementen warten. Nachdem ein Element überprüft und als sicher markiert wurde, wird der Client-Thread benachrichtigt, dass das Element verfügbar ist. Der Client-Thread wartet standardmäßig bis zu drei Minuten auf die Benachrichtigung über die Verfügbarkeit der angeforderten Daten, bevor das Zeitlimit erreicht ist.

Virus Scanning API 2.0 und Virus Scanning API 2.5 bieten eine proaktive Überprüfung von Nachrichten. Bei Virus Scanning API 1.0 werden Nachrichtenanlagen nur überprüft, wenn auf sie zugegriffen wird. Bei Virus Scanning API 2.0 und Virus Scanning API 2.5 werden Elemente, die im Informationsspeicher ankommen, an eine gemeinsame Informationsspeicher-Warteschlange übermittelt. Jedes dieser Elemente erhält eine niedrige Priorität in der Warteschlange, damit die Überprüfung dieser Elemente nicht mit der Überprüfung der Elemente mit hoher Priorität kollidiert. Wenn alle Elemente mit hoher Priorität überprüft worden sind, beginnt Virus Scanning API 2.0 bzw. Virus Scanning API 2.5 mit der Überprüfung der Elemente mit niedriger Priorität. Die Priorität der Elemente wird dynamisch auf hohe Priorität aktualisiert, wenn ein Client versucht, auf ein Element in der Warteschlange mit niedriger Priorität zuzugreifen. In der Warteschlange mit niedriger Priorität können sich maximal 30 Elemente befinden. Die Reihenfolge der Elemente basiert auf dem FIFO-Prinzip (First-in-First-out).

Virus Scanning API 2.0 und Virus Scanning API 2.5 bieten eine bessere Hintergrundüberprüfung. In Virus Scanning API 1.0 besteht die Hintergrundüberprüfung in einem einzelnen Durchlauf durch die Anlagentabelle. Dann übermittelt Virus Scanning API 1.0 Anlagen, die nicht von der aktuellen Fremdanbieter-Antivirensoftware oder der Signaturdatei gescannt wurden, direkt an die Antiviren-DLL (Dynamic-Link Library). Jeder private und öffentliche Informationsspeicher erhält je einen Thread, um diese Hintergrundüberprüfung durchzuführen. Nachdem der Thread einen Durchlauf durch die Anlagentabelle abgeschlossen hat, wartet er darauf, dass der Informationsspeicher-Prozess neu gestartet wird, bevor ein zweiter Durchlauf erfolgt. Auch in Virus Scanning API 2.0 und Virus Scanning API 2.5 erhält jede Messaging-Datenbank einen Thread für die Durchführung der Hintergrundüberprüfung. In Exchange 2003 navigiert die Hintergrundüberprüfung jedoch durch alle Ordner, die im Postfach des Benutzers enthalten sind. Wenn Elemente, die nicht überprüft wurden, angetroffen werden, werden diese an die Fremdanbieter-Software übermittelt, und der Überprüfungsprozess wird fortgesetzt. Antivirensoftware von Fremdanbietern kann auch mithilfe eines Satzes von Registrierungsschlüsseln eine Hintergrundüberprüfung veranlassen.

Die am häufigsten geforderte Funktionserweiterung gegenüber Virus Scanning API 1.0 betrifft die Möglichkeit, Nachrichtendetails abzurufen, um Exchange-Administratoren in die Lage zu versetzen, die Existenz von Viren nachzuverfolgen und zu ermitteln, wie die Viren in das System eingedrungen sind und welche Benutzer betroffen sind. Diese Funktion wurde in Virus Scanning API 2.0 hinzugefügt, weil die Überprüfung nicht länger direkt auf der Anlagentabelle basiert.

Mithilfe von Virus Scanning API-Leistungsindikatoren kann die Leistung der Antivirus-API überwacht und die Problembehandlung in Virus Scanning API 2.0 und Virus Scanning API 2.5 verbessert werden. Mithilfe dieser Indikatoren kann der Administrator die Menge gescannter Informationen und die Geschwindigkeit des Scanvorgangs bestimmen. Auf diese Art kann er Server genauer skalieren.

Virus Scanning API 2.0 und Virus Scanning API 2.5 bieten auch eine spezielle Ereignisprotokollierung. Ereignisse, die protokolliert werden, sind:

• Die Ladung und Entladung von Fremdanbieter-DLLs.
• Erfolgreiche Überprüfungen von Elementen.
• Im Informationsspeicher gefundene Viren.
• Unerwartetes Verhalten in der Virus Scanning API.

ESE-Scanner

ESE-Scanner (wie z. B. bestimmte Versionen von Antigen) nutzen eine Schnittstelle zwischen dem Informationsspeicher und der ESE (Extensible Storage Engine), die von Microsoft unterstützt wird. Wenn Sie diese Art von Software verwenden und Fehler bei der Software-Implementierung auftreten, besteht das Risiko einer Beschädigung von Datenbanken und eines Datenverlusts.

Während der Installation verändert der ESE-Scanner den Exchange Server-Informationsspeicherdienst so, dass er vom Dienst des Fremdanbieters abhängig ist. Dadurch wird sichergestellt, dass der Fremdanbieterdienst vor dem Exchange Server-Informationsspeicherdienst gestartet wird. Während des Startvorgangs sucht der Scanner-Dienst nach entsprechenden Versionen seiner Software und von Exchange Server sowie nach entsprechenden Dateiversionen. Falls eine Inkompatibilität gefunden wird, deaktiviert sich die Antigen-Software selbst, ermöglicht den Start des Exchange-Informationsspeicherdienstes ohne Virenschutz und benachrichtigt dann die Administratoren.


Wenn der ESE-Scanner erfolgreich gestartet wird, wird die Microsoft-Version der Datei "Ese.dll" vorübergehend in "Xese.dll" umbenannt und durch die Antigen-Version der Datei "Ese.dll" ersetzt. Nachdem die Antigen-Version der Datei "Ese.dll" geladen wurde, wird die Microsoft-Version wieder in "Ese.dll" umbenannt und der Exchange-Informationsspeicherdienst kann den Startvorgang abschließen.


Kunden, die mit Microsoft Product Support Services Kontakt aufnehmen, werden möglicherweise aufgefordert, den Antigen-Dienst zu deaktivieren, um die Fehlersuche zu erleichtern, aber die Software kann jederzeit wieder aktiviert werden, nachdem die Ursache des Problems gefunden wurde.

Zusätzliche Lektüre

Weitere Informationen zu Antivirus-Software, die mit Exchange verwendet werden kann, finden Sie in folgenden Artikeln der Microsoft Knowledge Base: Die neuesten Informationen über Virus- und Sicherheitswarnungen und über Hersteller von Antivirenprogrammen finden Sie auf folgenden Websites von Microsoft und von Fremdanbietern:

MicrosoftICSA

ICSA Labs, ein Unternehmensbereich von TruSecure Corporation, bietet Dienste zur Gewährleistung der Internet-Sicherheit. CERT Coordination Center

Das CERT Coordination Center ist Teil der Survivable Systems Initiative am Software Engineering Institute, einem vom US-Verteidigungsministerium geförderten Forschungs- und Entwicklungszentrum der Carnegie Mellon University. Computer Incident Advisory Capability

Computer Incident Advisory Capability bietet technische Unterstützung und Informationen auf Abruf für Standorte des US-Energieministeriums, bei denen sich sicherheitsrelevante Vorfälle der Computersysteme ereignen. McAfeeTrend MicroComputer AssociatesSymantec (Mail Security für Exchange, Symantec Antivirus und Norton AntiVirus)

Die Kontaktinformationen bezüglich der in diesem Artikel genannten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.