Visão geral do software antivírus e Exchange Server 2003

Este artigo contém uma visão geral dos diferentes tipos de programas de verificação de vírus que normalmente são usados com Microsoft Exchange Server 2003. Este artigo lista as vantagens, desvantagens e solução de problemas Considerações sobre os diferentes tipos de scanners. Este artigo não Descrever SMTP Simple Mail Transfer Protocol () soluções de filtragem geralmente instalado em um servidor diferente do Exchange 2003 computador.

Scanners de nível de arquivo

Scanners de nível de arquivo são usados com freqüência e podem ser mais problemática para uso com o Exchange 2003. Scanners de nível de arquivo podem ser residente na memória ou sob demanda:

• Residente na memória refere-se a uma parte do software antivírus no nível de arquivo que é carregado na memória todas as vezes. Ele verifica todos os arquivos que são usados no disco rígido e na memória do computador.
• Demanda se refere a uma parte do software antivírus no nível de arquivo que você pode Configure para examinar arquivos no disco rígido manualmente ou em um agendamento. Existem versões de software antivírus que iniciar a varredura sob demanda automaticamente após as assinaturas de vírus são atualizadas para se certificar de que todos os arquivos são examinados com as assinaturas mais recentes.

Os seguintes problemas podem ocorrer ao usar scanners de nível de arquivo com o Exchange 2003:

• Scanners de nível de arquivo para verificar um arquivo quando o arquivo é usado ou em um intervalo agendado e esses scanners podem bloquear ou colocar em quarentena um log do Exchange ou um arquivo de banco de dados enquanto o Exchange 2003 tenta usar o arquivo. Esse comportamento pode causa uma falha grave no Exchange 2003 e podem também gerar -1018 erros.
• Scanners de nível de arquivo não fornecem proteção contra vírus de email como o vírus Melissa.
  
  Observação O vírus Melissa é um vírus de macro do Microsoft Word pode se propaga por meio de mensagens de email. O vírus envia emails inadequados mensagens para endereços que encontra em catálogos de endereços pessoais na Microsoft Clientes de email do Outlook. Vírus similares podem causar a destruição de dados.

Exclua as seguintes pastas de ambos os nível de arquivo sob demanda scanners e scanners de nível de arquivo residente na memória:

• Arquivos de log em todos os grupos de armazenamento e bancos de dados do Exchange. Por padrão, eles estão localizados na pasta Exchsrvr\Mdbdata..
• Arquivos MTA do Exchange na pasta Exchsrvr\Mtadata..
• Arquivos de log adicionais, como o Exchsrvr\server_name.log. diretório.
• A pasta Exchsrvr\Mailroot. do servidor virtual.
• A pasta de trabalho é usada para armazenar o fluxo. tmp arquivos que são usados para conversão de mensagem. Por padrão, essa pasta é Exchsrvr\Mdbdata, mas o local é configurável. Para obter mais informações, clique em seguinte número de artigo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  822936  (http://support.microsoft.com/kb/822936/ ) Fluxo de mensagens na fila de entrega local é muito lento
• A pasta temporária usada em conjunto com utilitários de manutenção offline, como Eseutil. exe. Por padrão, essa pasta é o local onde o arquivo. exe é executado a partir, mas você pode configurar onde você Execute o arquivo de quando você executar o utilitário.
• Arquivos SRS (Replication Service) do site do Pasta Exchsrvr\Srsdata..
• Arquivos de sistema Serviços de Informações da Internet da Microsoft (IIS) na pasta %SystemRoot%\System32\Inetsrv.
  
  Observação Talvez você queira excluir toda a pasta Exchsrvr de ambos scanners de nível de arquivo sob demanda e residentes na memória nível de arquivo scanners.
• A compactação do Internet Information Services (IIS) 6.0 pasta que é usada com o Outlook Web Access 2003. Por padrão, a compactação pasta no IIS 6.0 está localizada em %systemroot%\IIS arquivos compactados temporários.
  
  Para obter mais informações informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  817442  (http://support.microsoft.com/kb/817442/ ) A verificação antivírus do diretório de compactação do IIS pode resultar no arquivo de 0 byte
• Para clusters, o disco de Quorum e o %Winnt%\Cluster pasta.
• As pastas de programa antivírus de mensagens.
• A pasta Exchsrvr\Conndata.

Exclua a pasta que contém o arquivo de verificação (. chk) do scanners de nível de arquivo residente na memória e no nível de arquivo sob demanda scanners.

Observação Mesmo se você mover bancos de dados do Exchange e arquivos de log para novas locais e exclua essas pastas, o arquivo. chk ainda poderá ser examinado. Para mais informações sobre o que pode ocorrer se o arquivo. chk for examinado, clique no números de artigo seguintes para visualizar os artigos na Base de dados de Conhecimento da Microsoft: Muitos scanners de nível de arquivo agora suportam a digitalização processos. Isso pode também afetar adversamente o Exchange. Portanto, você deve Exclua os seguintes processos de scanners de nível de arquivo:

• CDB. exe
• CIDaemon. exe
• Store. exe
• Emsmta. exe
• MAD. exe
• MSSearch
• Inetinfo. exe
• W3wp. exe

Scanners MAPI

A primeira geração de scanners de vírus que incluem uma troca agente são baseadas em MAPI. Esses scanners realizam um logon MAPI para cada caixa de correio e em seguida, examiná-lo de vírus conhecidos.

O scanner MAPI possui as seguintes vantagens sobre o scanner de arquivo:

• O scanner MAPI pode procurar vírus de email, como o Vírus Melissa.
• O scanner MAPI não interfere com o log do Exchange ou arquivos de banco de dados.

O scanner MAPI possui as seguintes desvantagens:

• O scanner MAPI pode não examinar um email infectado antes que um usuário abre o email. O scanner MAPI não impede que um usuário de abrir um email infectado se o scanner não primeiro detecte a mensagem de email infectado.
• O scanner MAPI não pode examinar mensagens de saída.
• O scanner MAPI não reconhece o único do Exchange Filtro do SIS. Portanto, o scanner pode examinar uma única mensagem muitas vezes se a mesma mensagem existir em várias caixas de correio. Portanto, o MAPI scanner pode demorar mais para realizar o exame.

Como o scanner MAPI pode detectar vírus de email, é um melhor opção de um scanner de nível de arquivo. No entanto, há opções ainda melhores disponíveis do que o scanner MAPI e essas são descritos posteriormente neste artigo.

Scanners de API de Verificação de Vírus

Virus Scanning Application Programming Interface (API) também é conhecido como Virus API (VAPI), Antivirus API (AVAPI) ou API de Verificação de Vírus (VSAPI).

API de Verificação de Vírus 1.0 foi introduzido no Microsoft Exchange Server 5.5 Service Pack 3 (SP3) e era padrão até o lançamento do Exchange 2000. Muitos aprimoramentos foram feitos para API de Verificação de Vírus 1.0 para melhorar desempenho com Exchange Server. Para obter mais informações, Clique no número abaixo para ler o artigo na Microsoft Base de Conhecimento:
Exchange 2000 Server Service Pack 1 (SP1) inclui o API de Verificação de Vírus 2.0. API de Verificação de Vírus 2.0 não é suportada Exchange Server 5.5. API de Verificação de Vírus 1.0 e 2.0 tanto de API de Verificação de Vírus suporte a varredura sob demanda.

O Exchange 2003 agora inclui varredura de vírus API 2.5. API de Verificação de Vírus 2.5 inclui os recursos anteriores do vírus Scanning API 2.0 além para os seguintes aprimoramentos:

• Melhor virus scanning API permite que o fornecedor de antivírus produtos para executar em servidores Exchange 2003 que não tenham o Exchange residente caixas de correio (por exemplo, servidores de gateway ou servidores ponte).
• API de Verificação de Vírus 2.5 permite que produtos de fornecedores de antivírus excluir mensagens e enviar mensagens para o remetente e o status de vírus adicionais mensagens permitem que clientes indiquem melhor o status da infecção de uma determinada mensagem.

Contate o fabricante do software antivírus para obter mais informações informações sobre atualizações.

Quando você usa um scanner virus scanning API e um cliente tenta abrir uma mensagem, uma comparação é feita para certificar-se de que o corpo da mensagem e anexos foram examinados pelo vírus atual arquivo de assinatura. Se o arquivo de assinatura de vírus atual não examinou o conteúdo, o componente correspondente da mensagem é enviado para o antivírus produto do fornecedor para verificação antes do lançamento do componente mensagem para o cliente. O cliente pode estar usando um cliente MAPI convencional ou um Internet Protocolo (IP)-com base no cliente como, por exemplo, Post Office Protocol versão 3 (POP3) Microsoft Outlook Web Access (OWA) e Internet Message Access Protocol Versão 4rev1 (IMAP4).

API de Verificação de Vírus 2.0 e API de Verificação de Vírus 2.5 processa todos os dados de mensagem corpo e anexo usando uma única fila. Itens por demanda enviados a essa fila são marcados como alta prioridade. No Exchange 2003, essa fila agora é atendida por uma série de segmentos, e itens de alta prioridade sempre têm precedência. O número padrão de segmentos é 2 vezes número de processos mais 1. Isso torna possível para vários itens sejam enviados para o produto do fornecedor de antivírus em mesmo tempo. Além disso, segmentos de clientes não estão ligados a valores de tempo limite são Aguardando os itens a serem lançados. Após os itens são examinados e marcados como seguros, o segmento do cliente é notificado que o item está disponível. Por padrão, o cliente segmento espera até três minutos para ser notificado da disponibilidade do dados solicitados antes do tempo limite ocorre.

API de Verificação de Vírus 2.0 e API de Verificação de Vírus 2.5 incluem uma recurso de varredura de mensagem pró-ativo. Em API de Verificação de Vírus 1.0, informações de anexo de mensagem é examinada apenas quando é usado. No API de Verificação de Vírus 2.0 e 2.5 do API de Verificação de Vírus, os itens são enviados um comum informações armazenar fila conforme eles são enviados para as informações armazene. Cada um desses itens recebe uma baixa prioridade na fila, portanto, esses itens não interferem com a varredura de itens de alta prioridade. Quando todos os os itens de alta prioridade tiverem sido examinados, vírus ou API de Verificação de Vírus 2.0 Scanning API 2.5 começa a examinar itens de baixa prioridade. A prioridade dos itens é atualizada dinamicamente para alta prioridade se um cliente tenta usar o item enquanto o item estiver na fila de baixa prioridade. Um máximo de 30 itens pode existir em mesmo tempo na fila de baixa prioridade e o conteúdo dessa fila são determinada no primeiro a entrar, primeiro fora de base.

API de Verificação de Vírus 2.0 e API de Verificação de Vírus 2.5 incluem um plano de fundo melhor processo de digitalização. Em API de Verificação de Vírus 1.0, verificação em segundo plano é conduzido fazendo uma única passe sobre a tabela de anexos. API de Verificação de Vírus 1.0 envia anexos que não foram examinados pelo produto do fornecedor de antivírus atual ou assinatura arquivo diretamente para a biblioteca de antivírus de vínculo dinâmico (DLL). Cada particular armazenamentos de informações e informações públicas recebe um segmento para executar Essa verificação em segundo plano. Após o segmento concluir essa passagem da tabela de anexos o segmento espera por uma reinicialização do processo de armazenamento de informações antes de conduzir outra passagem. No API de Verificação de Vírus 2.0 e 2.5, de API de Verificação de Vírus cada MDB Messaging Database ainda recebe um segmento para conduzir o plano de fundo processo de digitalização. No entanto, no Exchange 2003, o processo de digitalização do plano de fundo navega pelas várias pastas que compõem a caixa de correio de cada usuário. Como itens que não foram examinados são encontrados, são enviados para o antivírus produto do fornecedor e o processo de exame continua. Fornecedor de software antivírus produtos também podem forçar o início de uma verificação em segundo plano por meio de um conjunto de chaves do registro.

O recurso mais solicitado para além API de Verificação de Vírus 1.0 é aquele que fornece detalhes de mensagem, de modo que o Exchange os administradores podem controlar a existência de vírus, determinar como vírus penetrou na organização e determinar os usuários afetados. Isso recurso foi adicionado no API de Verificação de Vírus 2.0 porque a varredura não é mais baseado diretamente a tabela de anexos.

API de Verificação de Vírus Contadores de desempenho podem ser usados para controlar o desempenho do vírus Scanning API e para aperfeiçoar a solução de problemas de vírus e API de Verificação de Vírus 2.0 Scanning API 2.5. Usando esses contadores, o administrador pode determinar como quantidade de informações está sendo digitalizado e a rapidez com que as informações estão sendo examinado. Isso ajuda o administrador a dimensionar os servidores com mais precisão.

API de Verificação de Vírus 2.0 e API de Verificação de Vírus 2.5 também incluem eventos log que é específico para o virus scanning API. Eventos registrados incluem:

• DLLs do fornecedor que está sendo carregado e descarregado.
• Exames bem-sucedidos de itens.
• Vírus localizados nas informações armazene.
• Comportamento inesperado no virus scanning API.

Scanners com base em ESE

Com base em ESE scanners, como algumas versões do Antigen usam uma interface entre o armazenamento de informações e o mecanismo de armazenamento extensível (ESE) que é suportado pelo Microsoft. Quando você usa esse tipo de software, você corre o risco de banco de dados danos e perda de dados se houver erros na implementação do software.

Durante a instalação, o scanner com base em ESE altera o Exchange Para que seja dependente de específicas do serviço armazenamento de informações do servidor serviço. Isso garante que o serviço é iniciado antes de Exchange Server Inicia o serviço armazenamento de informações. Durante o processo de inicialização, o mecanismo de varredura serviço verifica se há versões apropriadas de seu software e de Exchange Server e as versões de arquivo apropriado. Se qualquer incompatibilidade for encontrada, o Antigen software desativa propriamente dito, permite o armazenamento de informações inicie sem proteção antivírus e notifica os administradores.


Quando o Scanner com base em ESE inicia com êxito, a versão Microsoft do ESE. dll arquivo é renomeado temporariamente para Xese. dll e a versão do Antigen do Arquivo ESE. dll substitui o arquivo original. Após a versão do Antigen do Arquivo ESE. dll é carregado, a versão da Microsoft é renomeada de volta para ESE. dll e o armazenamento de informações do Exchange Server está habilitado para concluir sua inicialização processo.


Clientes que contatam o Atendimento Microsoft Serviços podem ser solicitados a desativar o serviço do Antigen para ajudar a identificar problemas, mas os clientes são livres para ativar o software Antigen novamente após a raiz causa do problema é diagnosticada corretamente.

Leituras adicionais

Para obter mais informações sobre software antivírus que é usado com o Exchange, clique no seguinte artigo números para visualizar os artigos na Base de dados de Conhecimento da Microsoft: As informações mais recentes sobre os alertas de vírus e segurança e sobre fornecedores de software de proteção contra vírus, visite o seguinte Microsoft e sites de terceiros:

MicrosoftICSA

ICSA Labs, uma divisão da TruSecure Corporation, fornece Serviços de garantia de segurança de Internet.CERT Coordination Center

O CERT Coordination Center é parte da Survivable Systems Initiative no Software Engineering Institute, um governo-financiado Centro de pesquisa e desenvolvimento patrocinado pelo U.S. Department of Defense e operado pelo Carnegie Mellon University.Computer Incident Advisory Capability

Computer Incident Advisory Capability fornece na chamada Ajuda técnica e informações ao departamento de energia (DOE) sites que experiência de incidentes de segurança do computador.McAfeeTrend MicroA Computer AssociatesSymantec (segurança de email para o Exchange, Symantec Antivirus e Norton AntiVirus)

A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar técnicas suporte. Informações de contato podem ser alteradas sem aviso prévio. Microsoft não garante a precisão dessas informações de contato de terceiros.

Os produtos de terceiros mencionados neste artigo são fabricados por empresas independem da Microsoft. Microsoft torna nenhuma garantia, implícita ou não, em relação ao desempenho ou confiabilidade Esses produtos.