Использование антивирусных программ на сервере Exchange Server 2003

Переводы статьи Переводы статьи
Код статьи: 823166 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье описываются основные типы антивирусных средств, используемых вместе с сервером Microsoft Exchange Server 2003, рассматриваются их преимущества и недостатки, а также приводятся рекомендации по устранению неполадок при использовании антивирусного программного обеспечения. В статье не рассматриваются решения, основанные на анализе сеансов протокола SMTP (Simple Mail Transfer Protocol), которые устанавливаются на серверах, не использующих Exchange 2003.

Антивирусные средства проверки файлов

Антивирусные программы, проверяющие файлы на наличие вирусов, часто используются вместе с сервером Exchange Server 2003. Взаимодействие Exchange с приложениями данного типа вызывает наибольшее количество проблем. Подобные средства делятся на резидентные приложения и приложения, выполняющие проверку по запросу.
  • Резидентные приложения постоянно загружены в память компьютера и проверяют все используемые файлы, расположенные на жестком диске или в памяти.
  • Проверка по запросу означает, что антивирусная программа вручную или автоматически запускается и проверяет файлы на жестком диске. Существуют антивирусные программы, автоматически запускающиеся после обновления базы данных с информацией о вирусах. Это гарантирует, что все файлы будут проверены на наличие вирусов с использованием последних существующих сигнатур вирусов.
При использовании на сервере Exchange 2003 антивирусных программ, выполняющих проверку файлов, могут возникать следующие проблемы.
  • Подобные программы выполняют проверку при обращении к файлу или в соответствии с заданным расписанием. В результате антивирусная программа может заблокировать доступ к файлу журнала или базы данных сервера Exchange или переместить эти файлы в собственную временную папку, в тот момент, когда сервер Exchange будет обращаться к этим файлам. Это может вызвать сбои в работе Exchange 2003 и привести к появлению сообщений об ошибке с кодом 1018.
  • Антивирусные программы, выполняющие проверку файлов, не защищают от вирусов, распространяющихся по электронной почте (например, от вируса Melissa).

    Примечание. Вирус Melissa представляет собой макровирус, заражающий документы Microsoft Word и распространяющийся с помощью сообщений электронной почты. Данный вирус самопроизвольно отправляет сообщения электронной почты по адресам, содержащимся в личной адресной книге приложения Microsoft Outlook. Подобные вирусы могут вызывать потерю данных.
Настройте антивирусные программы, выполняющие проверку файлов (как резидентные программы, так и программы, запускающиеся по запросу), таким образом, чтобы не проверялись следующие файлы и папки.
  • Файлы баз данных и журналов Exchange всех групп банков сообщений. По умолчанию эти файлы находятся в папке Exchsrvr\Mdbdata.
  • Файлы почтового агента (MTA) сервера Exchange, находящиеся в папке Exchsrvr\Mtadata.
  • Дополнительные файлы журналов (например, файл Exchsrvr\имя_сервера.log).
  • Папка виртуального сервера Exchsrvr\Mailroot.
  • Рабочая папка, предназначенная для хранения временных файлов с расширением TMP, используемых при преобразовании сообщений. По умолчанию эти файлы находятся в папке Exchsrvr\Mdbdata, но данное местоположение можно изменить. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    822936 Замедление доставки сообщений в локальную очередь доставки (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  • Временная папка, используемая автономными средствами поддержки (например, программой Eeseutil.exe). По умолчанию используется папка, из которой был запущен исполняемый файл приложения (EXE), однако при запуске приложений можно явно указывать местоположение, из которого будет запущен данный файл.
  • Файлы службы SRS (Site Replication Service), находящиеся в папке Exchsrvr\Srsdata.
  • Системные файлы информационных служб Интернета (Internet Information Services, IIS), находящиеся в папке %SystemRoot%\System32\Inetsrv.

    Примечание. В некоторых случаях необходимо, чтобы антивирусные программы, выполняющие проверку файлов, вообще не проверяли папку Exchsrvr.
  • Архивная папка служб IIS 6.0, используемая Outlook Web Access 2003. По умолчанию в IIS 6.0 архивная папка находится в папке %systemroot%\IIS Temporary Compressed Files.

    Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    817442 Результатом сканирования архивной папки IIS может быть пустой файл размером 0 байт (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  • Для кластеров диск Quorum и папка %Winnt%\Cluster.
  • Любые папки антивирусных программ.
  • Папка Exchsrvr\Conndata.
Настройте антивирусные программы, выполняющие проверку файлов (как резидентные программы, так и программы, запускающиеся по запросу), таким образом, чтобы не проверялась папка, содержащая файлы контрольных точек (CHK).

Примечание. Файлы CHK могут проверяться даже после перемещения файлов базы данных и журналов сервера Exchange в новую папку и отключения проверки данной папки. Дополнительные сведения о последствиях проверки файла CHK на наличие вирусов см. в следующих статьях базы знаний Майкрософт.
253111 События, регистрируемые службой базы данных сервера Exchange в случаях, когда не удается выполнить запись в собственные файлы EDB или CHK (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
176239 XADM: База данных не запускается; циклическое ведение журналов слишком быстро удаляет журнал (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Многие антивирусные средства проверки файлов теперь поддерживают процессы сканирования. Это может отрицательно влиять на работу Exchange, поэтому исключите из списка сканирования следующие процессы:
  • Cdb.exe
  • Cidaemon.exe
  • Store.exe
  • Emsmta.exe
  • Mad.exe
  • Mssearch.exe
  • Inetinfo.exe
  • W3wp.exe

Антивирусные средства, использующие интерфейс MAPI

Первые антивирусные средства, включающие агент Exchange, используют интерфейс MAPI. Эти программы выполняют вход в каждый почтовый ящик и проверяют сообщения в данном ящике на наличие вирусов.

Подобные программы обладают следующими преимуществами перед антивирусными средствами проверки файлов.
  • Антивирусные средства, использующие интерфейс MAPI, могут обнаруживать вирусы, распространяющиеся по электронной почте (например, вирус Melissa).
  • Антивирусные средства, использующие интерфейс MAPI, не влияют на работу сервера Exchange с файлами журнала и базы данных.

Подобные программы имеют следующие недостатки.
  • Антивирусные средства, использующие интерфейс MAPI, могут не успеть проверить зараженное сообщение до того, как пользователь его откроет. Пока антивирусная программа не обнаружила, что сообщение заражено, пользователь может беспрепятственно открывать данное сообщение.
  • Антивирусные средства, использующие интерфейс MAPI, не могут проверять исходящие сообщения.
  • Антивирусные средства, использующие интерфейс MAPI, не распознают фильтр банка сообщений единственных копий. В результате подобные средства могут многократно проверять одно и то же сообщение, существующее в разных почтовых ящиках, что значительно увеличивает время проверки.
Поскольку антивирусные средства, использующие интерфейс MAPI, могут обнаруживать вирусы, распространяющиеся по электронной почте, рекомендуется использовать данные средства, а не программы, выполняющие проверку файлов. Однако существуют антивирусные программы, предоставляющие больше возможностей, чем средства, использующие интерфейс MAPI.

Антивирусные средства, использующие интерфейс Virus Scanning API

Интерфейс Virus Scanning Application Programming Interface также называют Virus API (VAPI), Antivirus API (AVAPI) и Virus Scanning API (VSAPI).

Интерфейс Virus Scanning API версии 1.0 был реализован в пакете обновления 3 (SP3) для Microsoft Exchange Server 5.5 и являлся стандартным до выхода сервера Exchange 2000. При создании Exchange 2000 в данный интерфейс были внесены значительные изменения, улучшающие совместную работу с сервером Exchange. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
248838 Обновления службы информационного хранилища почтовой системы Microsoft Exchange Server 5.5 с установленным пакетом обновления SP3 доступны для загрузки

Пакет обновления 1 (SP1) для Exchange 2000 Server включает интерфейс Virus Scanning API версии 2.0. Virus Scanning API версии 2.0 не поддерживается сервером Exchange Server 5.5. Как Virus Scanning API 1.0, так и Virus Scanning API 2.0 поддерживают проверку по запросу.

Сервер Exchange 2003 включает интерфейс Virus Scanning API 2.5. Virus Scanning API 2.5 поддерживает все возможности интерфейса Virus Scanning API 2.0, а также содержит следующие улучшения.
  • Возможность использования антивирусных программ на сервере Exchange 2003, не имеющем постоянных почтовых ящиков Exchange (например, на серверах-шлюзах или серверах-плацдармах).
  • Интерфейс Virus Scanning API 2.5 позволяет антивирусным программам удалять сообщения и отправлять сообщения пользователям, а также использовать дополнительные сообщения, информирующие клиентов о заражении того или иного сообщения.
За сведениями об обновлении антивирусных программ обратитесь к разработчикам программ.

Если на сервере установлена антивирусная программа, использующая интерфейс Virus Scanning API, то при открытии клиентом сообщения электронной почты данная программа определяет, проверялось ли наличие вирусов в теле сообщения и прикрепленных вложениях и использовались ли при проверке последние данные о сигнатурах вирусов. Если такая проверка не выполнялась, то перед отправкой данного сообщения клиенту выполняется проверка сообщения с помощью антивирусной программы. При этом у пользователей могут быть установлены обычные клиенты, использующие интерфейс MAPI или протокол IP (например, клиенты, использующие протокол POP3), веб-клиент Microsoft Outlook Web Access (OWA), а также клиенты, использующие протокол IMAP4 (Internet Message Access Protocol версии 4rev1).

Интерфейсы Virus Scanning API 2.0 и Virus Scanning API 2.5 обрабатывают тело сообщения и данные во вложениях, используя общую очередь. При помещении в данную очередь объектов, к которым происходит обращение, этим объектам присваивается высокий приоритет. В сервере Exchange 2003 данная очередь обслуживается несколькими потоками, и объекты с более высоким приоритетом проверяются раньше. По умолчанию число потоков определяется как 2 * количество_процессоров + 1. Это позволяет передавать антивирусной программе по несколько объектов одновременно. Кроме того, клиентские потоки, ожидающие окончания проверки, не привязаны к значениям таймаута, – после того как объект будет проверен и помечен как безопасный, клиентскому потоку сообщается, что проверка выполнена. По умолчанию клиентский поток ожидает уведомления об окончании проверки в течение трех минут, после чего возникает тайм-аут.

Как Virus Scanning API 2.0, так и Virus Scanning API 2.5 позволяют выполнять упреждающую проверку сообщений. При использовании интерфейса Virus Scanning API 1.0 вложения в сообщении проверяются только при открытии, тогда как при использовании интерфейсов Virus Scanning API 2.0 и Virus Scanning API 2.5 сообщения, попадающие в банк сообщений, получают низкий приоритет и помещаются в очередь. Низкий приоритет данных сообщений гарантирует, что проверка этих сообщений не будет мешать проверке сообщений с высоким приоритетом. Когда все объекты с высоким приоритетом будут проверены, интерфейс Virus Scanning API 2.0 (или Virus Scanning API 2.5) начнет проверять объекты с низким приоритетом. Если клиент обратится к какому-либо низкоприоритетному сообщению, находящемуся в очереди, то приоритет данного сообщения будет автоматически повышен. В очереди может одновременно находиться до 30 сообщений. Сообщения в очереди проверяются в порядке помещения в очередь.

В интерфейсах Virus Scanning API 2.0 и Virus Scanning API 2.5 улучшен механизм фоновой антивирусной проверки. При использовании интерфейса Virus Scanning API 1.0 процедура фоновой проверки выполняет один проход по таблице вложений, после чего все вложения, которые не были проверены, перенаправляются антивирусной библиотеке DLL. Всем общим и личным банкам сообщений для выполнения фоновой проверки выделяется один поток. Закончив проверку таблицы вложений, данный поток ожидает перезапуска банка сообщений и выполняет следующий проход. При использовании интерфейсов Virus Scanning API 2.0 и Virus Scanning API 2.5 каждой базе данных сообщений (MDB) для выполнения фоновой проверки также выделяется один поток. Однако при работе с сервером Exchange 2003 процедура фоновой проверки просматривает папки, составляющие почтовые ящики пользователей. Обнаружив объекты, которые не были проверены на наличие вирусов, данная процедура сообщает об этих объектах антивирусной программе и продолжает работу. Антивирусное программное обеспечение может запускать фоновую проверку, используя параметры реестра.

Наиболее востребованной возможностью, отсутствовавшей в интерфейсе Virus Scanning API 1.0, является возможность получения отчетов, позволяющих администратору сервера Exchange отслеживать факты обнаружения вирусов, определять пути попадания вирусов в организацию и находить зараженные компьютеры. Данная возможность добавлена в интерфейс Virus Scanning API 2.0. Это стало возможным, поскольку процедура проверки перестала напрямую зависеть от таблицы вложений.

Интерфейсы Virus Scanning API 2.0 и Virus Scanning API 2.5 позволяют использовать счетчики монитора производительности Virus Scanning API, дающие возможность определять производительность средств Virus Scanning API и облегчающие устранение неполадок. Используя эти счетчики, администратор может определить объем проверенных данных и скорость проверки. Это позволяет администратору точнее масштабировать серверы.

Интерфейсы Virus Scanning API 2.0 и Virus Scanning API 2.5 также включают средства регистрации событий, относящихся к Virus Scanning API. В число этих событий входят следующие.
  • Загрузка и выгрузка антивирусных библиотек DLL.
  • Успешное выполнение проверки объекта.
  • Обнаружение вирусов в банке сообщений.
  • Сбои в работе средств Virus Scanning API.

Антивирусные средства, использующие подсистему ESE

Антивирусные программы на базе подсистемы ESE (например, некоторые версии программы Antigen) используют интерфейс между банком сообщений и подсистемой ESE, поддерживаемый корпорацией Майкрософт. Использование подобных программ может вызвать повреждение базы данных и потерю данных, если в используемой программе присутствуют ошибки.

При установке подобные программы изменяют службу банка данных сервера Exchange Server, делая ее зависимой от определенной службы. Это обеспечивает запуск данной службы до запуска службы банка данных сервера Exchange. При запуске антивирусная служба проверяет наличие нужных версий собственного ПО и сервера Exchange Server, а также нужных версий файлов. При выявлении несоответствий программа Antigen прекращает работу, включает для банка данных возможность запуска без антивирусной защиты и уведомляет администраторов.


При успешном запуске антивирусной программы на базе ESE исходная версия файла Ese.dll от корпорации Майкрософт временно переименовывается в Xese.dll, а вместо нее используется версия файла Ese.dll программы Antigen. После загрузки версии файла Ese.dll программы Antigen версия этого файла корпорации Майкрософт переименовывается обратно в Ese.dll и выполняется загрузка службы банка данных сервера Exchange.


Пользователям, обращающимся в службу технической поддержки Майкрософт, могут предложить отключить программное обеспечение Antigen, чтобы установить причину сбоя. Однако после обнаружения причины неполадок пользователи могут снова включить данное программное обеспечение.

Ссылки

Дополнительные сведения об антивирусных средствах сервера Exchange см. в следующих статьях базы данных Майкрософт:
285667 Интерфейс сканирования на наличие вирусов API2.0, входящий в состав пакета обновления 1 (SP1) для Exchange 2000 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
298924 Проблемы резервного копирования и сканирования диска M (Exchange 2000).
245822 Рекомендации по устранению неполадок на компьютере с сервером Exchange Server, использующем антивирусные программы
253111 События, регистрируемые службой базы данных сервера Exchange в случаях, когда не удается выполнить запись в собственные файлы EDB или CHK (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
176239 XADM: База данных не запускается; циклическое ведение журналов слишком быстро удаляет журнал (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Последние сведения о вирусах, безопасности и производителях антивирусных программ см. на следующих веб-узлах:

Майкрософт
http://www.microsoft.com/rus/
ICSA

ICSA Labs — это подразделение корпорации TruSecure Corporation, предоставляющее услуги по обеспечению безопасности при работе в Интернете.
http://www.icsalabs.com
(эта ссылка может указывать на содержимое полностью или частично на английском языке).Координационный центр CERT

Координационный центр CERT является частью группы Survivable Systems Initiative, работающей при организации Software Engineering Institute — федеральном научно-исследовательском центре, который финансируется министерством обороны США и ведет свою деятельность под управлением университета Карнеги (Carnegie Mellon University)
http://www.cert.org
(эта ссылка может указывать на содержимое полностью или частично на английском языке).Computer Incident Advisory Capability

Служба Computer Incident Advisory Capability предоставляет консультации и сведения учреждениям министерства энергетики США, столкнувшимся с нарушениями безопасности.
http://www.ciac.org/ciac/index.html
(эта ссылка может указывать на содержимое полностью или частично на английском языке).McAfee
http://www.mcafee.com/us/default.asp
(эта ссылка может указывать на содержимое полностью или частично на английском языке).Trend Micro
http://www.trendmicro.com/en/home/us/home.htm
(эта ссылка может указывать на содержимое полностью или частично на английском языке).Computer Associates
http://ca.com/virusinfo
(эта ссылка может указывать на содержимое полностью или частично на английском языке).Symantec (Mail Security for Exchange, Symantec Antivirus и Norton AntiVirus)
http://www.symantec.com/ru/ru/index.jsp
(эта ссылка может указывать на содержимое полностью или частично на английском языке).

Дополнительная информация

Контактные данные независимых производителей помогут пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий верности приведенных контактных данных сторонних производителей.

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий и обязательств относительно корректной работы или надежности этих продуктов.

Свойства

Код статьи: 823166 - Последний отзыв: 26 ноября 2007 г. - Revision: 9.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Ключевые слова: 
kbinfo KB823166

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com