Aperçu des logiciels antivirus utilisés avec Exchange Server 2003

Cet article présente un aperçu des différents types de programmes antivirus généralement utilisés avec Microsoft Exchange Server 2003. Il présente les avantages et les inconvénients des différents types de logiciels d'analyse, ainsi que des remarques relatives à la résolution des problèmes. Cet article ne décrit pas les solutions de filtrage SMTP (Simple Mail Transfer Protocol) qui sont généralement installées sur un autre serveur que l'ordinateur Exchange 2003.

Logiciels d'analyse au niveau des fichiers

Les logiciels d'analyse au niveau des fichiers sont très souvent utilisés et ce sont eux qui peuvent poser le plus de problèmes de fonctionnement avec Exchange 2003. Ils peuvent être résidant en mémoire ou à la demande :

• Résidant en mémoire fait référence à une partie du logiciel antivirus au niveau des fichiers qui est toujours chargée dans la mémoire. Elle vérifie tous les fichiers utilisés sur le disque dur ou dans la mémoire de l'ordinateur.
• À la demande fait référence à une partie du logiciel antivirus au niveau des fichiers que vous pouvez configurer pour analyser les fichiers sur le disque dur manuellement ou selon un calendrier. Certaines versions de logiciels antivirus démarrent automatiquement l'analyse à la demande après la mise à jour des signatures de virus pour vous assurer que tous les fichiers sont analysés avec les dernières signatures.

Les problèmes suivants peuvent se produire lorsque vous utilisez les logiciels d'analyse au niveau des fichiers avec Exchange 2003 :

• Les logiciels d'analyse au niveau des fichiers examinent un fichier lorsqu'il est en cours d'utilisation ou à intervalle planifié, et ces logiciels peuvent verrouiller ou mettre en quarantaine un fichier journal ou de base de données Exchange alors qu'Exchange 2003 essaie d'utiliser le fichier. Ce comportement peut provoquer un grave échec dans Exchange 2003 et provoquer des erreurs -1018.
• Les logiciels d'analyse au niveau des fichiers ne fournissent pas de protection contre les virus contenus dans les messages électroniques tels que le virus Melissa.
  
  Remarque Le virus Melissa est un virus de macro Microsoft Word qui peut se propager via les messages électroniques. Le virus envoie des messages électroniques inattendus aux adresses qu'il trouve dans les carnets d'adresses personnels des clients de messagerie Microsoft Outlook. De tels virus peuvent provoquer la destruction de données.

Excluez les dossiers suivants des logiciels d'analyse au niveau des fichiers à la demande et de ceux qui résident en mémoire :

• les bases de données et fichiers journaux Exchange sur tous les groupes de stockage. Par défaut, ils sont situés dans le dossier Exchsrvr\Mdbdata ;
• les fichiers Exchange MTA dans le dossier Exchsrvr\Mtadata ;
• d'autres fichiers journaux tels que le répertoire Exchsrvr\nom_serveur.log ;
• le dossier du serveur virtuel Exchsrvr\Mailroot ;
• le dossier de travail destiné à stocker les fichiers .tmp de transmission en continu utilisés pour la conversion des messages. Par défaut, ce dossier est Exchsrvr\Mdbdata, mais l'emplacement peut être configuré. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
  822936  (http://support.microsoft.com/kb/822936/ ) Le flux de messages vers la file d'attente de remise locale est très lent
• le dossier temporaire utilisé conjointement avec des utilitaires de maintenance hors connexion tels que Eseutil.exe. Par défaut, ce dossier se trouve à l'emplacement à partir duquel vous exécutez le fichier .exe, mais vous pouvez configurer cet emplacement lorsque vous exécutez l'utilitaire ;
• les fichiers du service de réplication de sites (SRS) dans le dossier Exchsrvr\Srsdata ;
• des fichiers système Microsoft Internet Information Services (IIS) dans le dossier %SystemRoot%\System32\Inetsrv.
  
  Remarque Vous souhaiterez peut-être exclure tout le dossier Exchsrvr des logiciels d'analyse au niveau des fichiers à la demande comme de ceux résidant en mémoire ;
• le dossier de compression des services Internet (IIS) 6.0 utilisé avec Outlook Web Access 2003. Par défaut, le dossier de compression dans IIS 6.0 est situé à l'emplacement suivant : %systemroot%\IIS Temporary Compressed Files.
  
  Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
  817442  (http://support.microsoft.com/kb/817442/ ) L'analyse antivirus du répertoire de compression IIS peut générer un fichier de 0 octet
• pour les clusters, le disque quorum et le dossier %Winnt%\Cluster ;
• tous les dossiers de programmes antivirus de messagerie ;
• le dossier Exchsrvr\Conndata.

Excluez le dossier contenant le fichier de point de vérification (.chk) des logiciels d'analyse au niveau des fichiers résidant en mémoire et de ceux à la demande.

Remarque Même si vous déplacez les bases de données et les fichiers journaux Exchange vers de nouveaux emplacements et que vous excluez ces dossiers, le fichier .chk peut encore être analysé. Pour plus d'informations sur ce qui peut se produire si le fichier .chk est analysé, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft. De nombreux logiciels d'analyse au niveau du fichier prennent maintenant en charge l'analyse des processus. Cela peut également avoir un impact négatif sur Exchange. Par conséquent, il est recommandé d'exclure les processus suivants des logiciels d'analyse au niveau du fichier :

• Cdb.exe
• Cidaemon.exe
• Store.exe
• Emsmta.exe
• Mad.exe
• Mssearch.exe
• Inetinfo.exe
• W3wp.exe

Logiciels d'analyse MAPI

La première génération de logiciels d'analyse antivirus incluant un agent Exchange repose sur l'interface MAPI. Ces logiciels d'analyse effectuent une ouverture de session MAPI de chaque boîte aux lettres, puis ils l'analysent pour détecter des virus connus.

Le logiciel d'analyse MAPI présente les avantages suivants par rapport au logiciel d'analyse au niveau des fichiers :

• Il peut rechercher la présence de virus contenus dans les messages électroniques tels que le virus Melissa.
• Il n'interfère pas avec les fichiers journaux et de bases de données Exchange.

Le logiciel d'analyse MAPI présente les inconvénients suivants :

• Il peut ne pas examiner un message électronique infecté avant l'ouverture du message. Il n'empêche pas l'utilisateur d'ouvrir un message électronique infecté s'il ne détecte pas d'abord le message électronique infecté.
• Il ne peut pas examiner les messages sortants.
• Il ne reconnaît pas le filtre de stockage d'instance simple Exchange, ainsi il peut analyser un seul message plusieurs fois si celui-ci est présent dans plusieurs boîtes aux lettres. Par conséquent, le logiciel d'analyse MAPI peut prendre plus de temps pour effectuer l'analyse.

Étant donné que le logiciel d'analyse MAPI peut détecter les virus contenus dans les messages électroniques, il est plus recommandé qu'un logiciel d'analyse au niveau des fichiers. Cependant, il existe de meilleures options que le logiciel d'analyse MAPI, décrites ci-dessous.

API d'analyse antivirus

L'interface de programmation d'applications (API) d'analyse antivirus est également appelée Virus API (VAPI), Antivirus API (AVAPI) ou Virus Scanning API (VSAPI).

VSAPI 1.0 a été lancé avec Microsoft Exchange Server 5.5 Service Pack 3 (SP3) et était standard jusqu'à la publication d'Exchange 2000. De nombreuses améliorations ont été apportées à VSAPI 1.0 pour optimiser les performances avec Exchange Server. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
Exchange 2000 Server Service Pack 1 (SP1) inclut l'interface VSAPI 2.0. VSAPI 2.0 n'est pas prise en charge dans Exchange Server 5.5. VSAPI 1.0 et VSAPI 2.0 prennent toutes deux en charge l'analyse sur demande.

Exchange 2003 inclut VSAPI 2.5, qui reprend les fonctionnalités de la version 2.0 et comporte les améliorations suivantes :

• L'API antivirus améliorée permet d'exécuter les produits antivirus du marché sur les serveurs Exchange 2003 qui ne disposent pas de boîtes aux lettres Exchange résidentes (par exemple, les serveurs passerelles ou les serveurs pont).
• VSAPI 2.5 permet aux produits antivirus du marché de supprimer et d'envoyer les messages au destinataire, et d'autres messages d'état du virus permettent aux utilisateurs de mieux indiquer l'état d'infection d'un message spécifique.

Pour plus d'informations sur ces mises à jour, contactez le fabricant de votre logiciel antivirus.

Lorsque vous utilisez une API d'analyse antivirus et qu'un utilisateur essaie d'ouvrir un message, une comparaison est faite pour garantir que le corps du message et la pièce jointe ont été analysés par le fichier de signatures de virus actuel. Si le fichier de signatures de virus actuel n'a pas analysé le contenu, le composant de message correspondant est soumis au produit antivirus du marché pour être analysé avant la publication du composant de message à l'utilisateur. L'utilisateur peut utiliser un client MAPI conventionnel ou un client IP (Internet Protocol) tel que POP3 (version 3 de Post Office Protocol), OWA (Microsoft Outlook Web Access) ou IMAP4 (Internet Message Access Protocol, Version 4rev1).

VSAPI 2.0 et 2.5 traitent toutes les données du corps du message et de la pièce jointe à l'aide d'une file d'attente unique. Les éléments à la demande qui sont soumis à cette file d'attente sont marqués en priorité supérieure. Dans Exchange 2003, cette file d'attente est maintenant desservie par une série de threads, et les éléments de priorité supérieure sont toujours prioritaires. Le nombre de threads par défaut est 2 fois le nombre_de_processeurs plus 1. Cela permet à plusieurs éléments d'être envoyés au produit antivirus au même moment. Les threads clients ne sont pas liés aux délais d'expiration qui attendent les éléments à publier. Après l'analyse et la reconnaissance que les éléments sont sûrs, le thread client est averti que l'élément est disponible. Par défaut, le thread client attend trois minutes avant d'être averti de la disponibilité des données requises avant le dépassement du délai d'attente.

VSAPI 2.0 et 2.5 comprennent une fonctionnalité d'analyse proactive des messages. Dans VSAPI 1.0, les informations de la pièce jointe des messages sont analysées seulement lorsqu'elles sont utilisées. Dans VSAPI 2.0 et 2.5, les éléments sont soumis à une file d'attente de banque d'informations commune lorsqu'ils sont envoyés à la banque d'informations. Tous ces éléments reçoivent une priorité basse dans la file d'attente de sorte qu'ils n'interfèrent pas avec l'analyse des éléments de priorité supérieure. Lorsque tous les éléments de priorité supérieure ont été analysés, VSAPI 2.0 ou 2.5 commence à analyser les éléments de priorité basse. La priorité de ces éléments est mise à niveau de manière dynamique vers la priorité supérieure si un utilisateur essaie d'utiliser l'élément tant qu'il est dans la file d'attente de priorité basse. Un maximum de 30 éléments peuvent être présents au même moment dans la file d'attente de priorité basse, et le contenu de cette file d'attente est déterminé selon la règle du premier entré, premier sorti.

VSAPI 2.0 et 2.5 comprennent un processus d'analyse d'arrière-plan amélioré. Dans VSAPI 1.0, l'analyse en arrière-plan est effectuée en faisant un seul passage sur la table des pièces jointes. VSAPI 1.0 soumet ensuite les pièces jointes qui n'ont pas été analysées par le produit antivirus actuel ou le fichier de signatures directement à la DLL de l'antivirus. Toutes les banques d'informations privées et publiques reçoivent un thread pour effectuer cette analyse en arrière-plan. Une fois que le thread a terminé un passage dans la table des pièces jointes, il attend le redémarrage du processus de la banque d'informations avant d'effectuer un autre passage. Dans VSAPI 2.0 et 2.5, chaque base de données de messagerie MDB reçoit toujours un thread pour effectuer le processus d'analyse en arrière-plan. Cependant, dans Exchange 2003, le processus d'analyse en arrière-plan parcourt la série de dossiers qui compose chaque boîte aux lettres de l'utilisateur. Lorsque des éléments qui n'ont pas été analysés sont rencontrés, ils sont envoyés à l'antivirus tiers et l'analyse continue. Les logiciels antivirus peuvent également forcer le démarrage d'une analyse en arrière-plan au moyen d'un ensemble de clés de Registre.

La caractéristique qui faisait le plus défaut à VSAPI 1.0 était la capacité à fournir des informations détaillées sur le message afin de permettre aux administrateurs Exchange d'assurer le suivi de l'existence de virus, de déterminer de quelle façon ils sont parvenus à pénétrer dans l'organisation et d'identifier les utilisateurs affectés. Cette fonctionnalité a été ajoutée à VSAPI 2.0 car l'analyse ne repose plus directement sur la table des pièces jointes.

Les compteurs du Moniteur de performances de l'API antivirus peuvent être utilisés pour suivre les performances de VSAPI et pour améliorer la résolution des problèmes dans VSAPI 2.0 et 2.5. En utilisant ces compteurs, l'administrateur peut déterminer le nombre d'informations analysées et la vitesse d'analyse de ces informations. Cela permet à l'administrateur d'adapter plus précisément l'évolution des serveurs aux besoins.

VSAPI 2.0 et 2.5 permettent également la journalisation des événements de cette API. Les événements enregistrés comprennent :

• les DLL de fournisseurs chargées et déchargées ;
• les analyses d'éléments réussies ;
• les virus situés dans la banque d'informations ;
• les comportements inattendus de la VSAPI.

Logiciels d'analyse ESE

Les logiciels d'analyse ESE, tels que certaines versions d'Antigen, utilisent une interface entre la banque d'informations et le moteur de stockage extensible (ESE) qui est prise en charge par Microsoft. Lorsque vous utilisez ce type de logiciels, vous courrez le risque d'endommagement de la base de données et de perte de données en cas d'erreurs lors de l'implémentation du logiciel.

Au cours de l'installation, le logiciel d'analyse ESE modifie le service de la banque d'informations de Microsoft Exchange de sorte qu'il dépende du service spécifique. Cela permet de s'assurer que le service démarre avant le service de la banque d'informations de Microsoft Exchange. Au cours du processus d'installation, le service d'analyse vérifie la version de ses logiciels et de Exchange Server, ainsi que les versions de fichiers appropriées. Si une incompatibilité est détectée, le logiciel Antigen se désactive, permet à la banque d'informations de démarrer sans protection antivirus, puis avertit les administrateurs.


Lorsque le logiciel d'analyse ESE démarre, la version Microsoft du fichier Ese.dll est temporairement renommée Xese.dll, tandis que la version Antigen du fichier Ese.dll remplace le fichier d'origine. Une fois la version Antigen du fichier Ese.dll chargée, la version Microsoft est renommée Ese.dll et la banque d'informations de Microsoft Exchange Server est autorisée à terminer son processus de démarrage.


Les clients qui contactent les services de Support technique Microsoft peuvent être amenés à désactiver le service Antigen afin d'identifier les problèmes, mais les clients sont libres de réactiver le logiciel Antigen une fois la cause racine du problème correctement diagnostiquée.

Documentation complémentaire

Pour plus d'informations sur le logiciel antivirus qui est utilisé avec Exchange, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft. Pour les dernières informations sur les alertes concernant les virus et la sécurité et sur les fournisseurs de logiciels de protection contre les virus, reportez-vous aux sites Web de Microsoft et tiers aux adresses suivantes :

MicrosoftICSA

ICSA Labs, une filiale de TruSecure Corporation, propose des services d'assurance de la sécurité Internet (en anglais).Centre de coordination CERT

Le Centre de coordination CERT fait partie du programme Survivable Systems Initiative du Software Engineering Institute, un centre de recherche et de développement fédéral financé par le Ministère américain de la Défense et exploité par Carnegie Mellon University (en anglais).CIAC (Computer Incident Advisory Capability)

Le CIAC fournit une assistance technique et des informations sur demande aux sites du Département de l'Énergie (DOE) qui rencontrent des problèmes de sécurité informatique (en anglais).McAfeeTrend MicroComputer AssociatesSymantec (Mail Security for Exchange, Symantec Antivirus et Norton AntiVirus) en anglais

Microsoft fournit des informations relatives aux contacts tiers afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Les produits tiers mentionnés dans le présent article proviennent de sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.