Exchange y el software antivirus

Importante: este artículo contiene información que muestra cómo reducir la configuración de seguridad o desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, le recomendamos que evalúe los riesgos asociados con la implementación de esta solución en su entorno concreto. Si decide implementar esta solución alternativa, tome las medidas adicionales oportunas para ayudar a proteger su sistema.

Resumen

Este artículo proporciona una visión general de los distintos tipos de análisis de virus de programas que se utilizan normalmente con Exchange 2000 Server. El artículo enumera las ventajas y desventajas y consideraciones sobre la solución de problemas para los distintos tipos de detectores. Este artículo describe soluciones de filtrado SMTP que se suelen instalar en un servidor de red independiente del equipo basado en Exchange 2000 Server.

Detectores de nivel de archivo

Detectores de nivel de archivo se usan con frecuencia y pueden ser los más problemáticos cuando se usan con Exchange 2000 Server. Detectores de nivel de archivo pueden ser "Residentes en memoria" o "A petición":
  • "Residentes en memoria" hace referencia a una parte del software antivirus de nivel de archivo que se carga en memoria en todo momento. Comprueba todos los archivos que se utilizan en el disco duro y la memoria del equipo.
  • "A petición" hace referencia a una parte del software antivirus de nivel de archivo que se puede configurar para examinar los archivos en el disco duro, ya sea manualmente o según una programación. Tenga en cuenta que hay versiones del software antivirus que inician el examen "a petición" automáticamente cuando las firmas de virus se han actualizado para asegurarse de que todos los archivos digitalizados con las firmas más recientes.
Los siguientes problemas se producirán cuando se utiliza la exploración antivirus de nivel de archivo con Microsoft Exchange Server 2007, Microsoft Exchange Server 2003 o en Exchange 2000 Server:
  • Detectores antivirus de nivel de archivo analizar un archivo cuando se usa o en un intervalo programado. La exploración del archivo hace que un archivo puede bloquearse cuando Exchange Server intenta tener acceso al archivo mientras se está analizando. Esto provoca un error de almacén de información de Exchange Server bloquear el archivo. Finalmente, esto hace que el archivo quede dañado o inutilizable. Todos los archivos dinámicos que utilizan Exchange Server deben excluirse del análisis a nivel de archivo. La lista de principales de archivos que deben quedar exentas son todos los archivos .edb, .log archivos, archivos .chk y archivos STM. Se recomienda que todos los archivos que contiene la jerarquía de carpeta que utilizan Microsoft Exchange Information Store excluirse del análisis a nivel de archivo.
  • Pueden producir más problemas si examina la unidad M: con software antivirus de nivel de archivo.

    El siguiente es un ejemplo de un evento que se puede registrar si se examina la unidad M: programa antivirus de nivel de archivo:
    Event: ID 6 Source: Norton Antivirus 
    The description for Event ID ( 6 ) in Source ( Norton AntiVirus ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote ccomputer.

    Scan could not open file M:\ ORG_NAME .COM\MBX\ User_Name \Inbox\No Subject-15.EML
  • Detectores de nivel de archivo no proporcionan protección contra virus de correo electrónico como "Melissa".

    Nota: el virus "Melissa" es un virus de macro de Microsoft Word que puede propagarse a través de mensajes de correo electrónico. El virus envía mensajes de correo electrónico inapropiados a las direcciones que encuentra en las libretas de direcciones personales de los clientes de correo de Microsoft Outlook. Virus similares pueden ocasionar la destrucción de datos.
Excluya las carpetas siguientes desde "a petición" y "residentes en memoria" detectores de nivel de archivo:
  • La unidad M de Exchange 2000 Server.
  • Archivos de registro y bases de datos de Exchange. De forma predeterminada, estos se encuentran en la carpeta Exchsrvr\Mdbdata.
  • Archivos del MTA de Exchange de la carpeta Exchsrvr\Mtadata.
  • Archivos de registro adicionales como el archivo de Exchsrvr\nombreDeServidor.log.
  • La carpeta de servidor virtual Exchsrvr\Mailroot.
  • La carpeta de trabajo que se utiliza para almacenar los archivos temporales que se utilizan para la conversión de mensajes de transferencia. De forma predeterminada, esta carpeta se encuentra en \Exchsrvr\MDBData, pero puede configurar la ubicación.
  • La carpeta temporal que se utiliza junto con utilidades de mantenimiento sin conexión como Eseutil.exe. De forma predeterminada, esta carpeta es la ubicación donde se ejecuta el archivo .exe desde, pero puede configurar donde ejecute el archivo desde cuando ejecuta la utilidad.
  • Archivos de sitio de sitios (SRS) en la carpeta Exchsrvr\Srsdata.
  • Archivos de sistema de servicios de Internet Information Server (IIS) de Microsoft en la carpeta %SystemRoot%\System32\Inetsrv.

    Nota: las carpetas Exchsrvr\Schema, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res y carpetas Exchsrvr\address el son generalmente seguras incluir en un análisis. Sin embargo, desea excluir toda la carpeta Exchsrvr tanto "a petición" como "residentes en memoria" detectores de nivel de archivo. Recomendamos encarecidamente que deshabilite temporalmente software de análisis basado en archivos durante las actualizaciones de Exchange; y de sistema operativo Esto incluye la actualización a nuevas versiones de Exchange o el sistema operativo y aplicar las revisiones de Exchange o el sistema operativo o service Pack.
Para obtener más información acerca de la carpeta de trabajo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
822936 el flujo de mensajes a la cola de entrega local es muy lento
Excluir los siguientes tipos de archivos "a petición" y "residentes en memoria" detectores de nivel de archivo:
  • .edb
  • .stm (en Exchange 2000 Server)
  • .log
Excluya la carpeta que contiene los archivos de controles (.chk) de los "residentes en memoria" y escáneres "a petición".

Nota: incluso aunque mueva las bases de datos de Exchange y a nuevas ubicaciones de los archivos de registro y excluya dichas carpetas, examina el archivo .chk aún se puede examinar.
Para obtener más información acerca de lo que puede ocurrir si se examina el archivo .chk, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
253111 se registran sucesos de error cuando el servicio de base de datos de Exchange Server se deniega el acceso de escritura a sus propios archivos .edb o al archivo .chk
176239 base de datos no se inicia; el registro circular eliminó el archivo de registro demasiado pronto

Detectores MAPI

La primera generación de detectores antivirus que incluían un agente Exchange estaban basados en MAPI. Estos detectores realizan un inicio de sesión MAPI en cada buzón y luego examinarlo en busca de virus conocidos.

El detector MAPI tiene las ventajas siguientes sobre el detector basado en archivo:
  • El detector MAPI puede buscar virus de correo electrónico como "Melissa".
  • El detector MAPI no interfiere con los archivos de registro o base de datos de Exchange.
El detector MAPI tiene las desventajas siguientes:
  • El detector MAPI no puede analizar un mensaje de correo electrónico infectado antes de que un usuario abre el mensaje de correo electrónico. El detector MAPI no impide que un usuario abre un mensaje de correo electrónico infectado si el escáner no detecta primero el mensaje de correo electrónico infectado.
  • El detector MAPI no puede analizar los mensajes salientes.
  • El detector MAPI no reconoce el filtro de almacenamiento de instancia única de Exchange, puede explorar un mensaje varias veces si existe el mismo mensaje en varios buzones. Por este motivo, el detector MAPI puede tardar más tiempo en realizar el análisis.
Dado que el detector MAPI puede detectar virus de correo electrónico, es una opción mejor que el detector de nivel de archivo. Sin embargo, hay disponibles otras opciones mejores, y se describen más adelante en este artículo.

VAPI, AVAPI o VSAPI

Interfaz de programación de aplicaciones de virus o Virus API (VAPI) se conoce también como Antivirus API (AVAPI) o API de detección de virus (VSAPI).

VAPI 1.0 se introdujo en Exchange Server 5.5 Service Pack 3 (SP3) y se usó hasta el servidor de Exchange 2000. Se realizaron muchas mejoras en VAPI 1.0 para mejorar el rendimiento con Exchange Server 5.5.
Para obtener más información acerca de este tema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
248838 almacén de información de Exchange Server 5.5 posteriores al Service Pack 3 corrige disponibles

Exchange 2000 Server Service Pack 1 (SP1) introdujo VAPI 2.0. VAPI 2.0 no se admite en Exchange 5.5. VAPI 1.0 y VAPI 2.0 admiten el análisis bajo demanda.

Cuando se utiliza un detector VAPI y un cliente intenta abrir un mensaje, se realiza una comparación para asegurarse de que el cuerpo del mensaje y datos adjuntos han sido analizados por el archivo de firma de virus actual. Si el archivo de firma o el proveedor actual no ha examinado el contenido, se envía el componente de mensaje correspondiente al proveedor de software antivirus para el análisis antes de que se libera el componente de mensaje al cliente. El cliente puede usar un cliente MAPI convencional o un cliente basado en el protocolo de Internet como el protocolo de oficina de correos versión 3 (POP3), Microsoft Outlook Web Access (OWA), protocolo de acceso a mensajes de Internet versión 4rev1 (IMAP4).

En VAPI 2.0, una única cola procesa tanto el mensaje cuerpo y datos adjuntos. Elementos que se envían a esta cola como elementos "a petición" se envían como elementos con prioridad alta. Esta cola es atendida ahora por una serie de subprocesos con elementos de alta prioridad siempre son prioritarios. El número predeterminado de subprocesos es 2 *
'númeroDeProcesadores' + 1. Esto hace posible para varios elementos al mismo tiempo se envía al proveedor. Además, los subprocesos del cliente ya no están ligados a valores de "tiempo de espera" que están esperando elementos de liberarse. Tras analizar los elementos y los marcados como seguros, se notifica al subproceso del cliente que el elemento está disponible. De forma predeterminada, el subproceso del cliente espera hasta tres minutos para recibir una notificación de la disponibilidad de los datos solicitados antes de que se produzca un tiempo de espera.

Una característica más reciente de VAPI 2.0 es el examen proactivo de los mensajes. En VAPI 1.0, información de datos adjuntos de mensajes sólo se examinaba cuando se utilizaba. En VAPI 2.0, los elementos se envían a una cola de almacén de información común a medida que son enviados al almacén de información. Cada uno de estos elementos recibe una prioridad baja en la cola, de modo que no interfieren con el análisis de los elementos de prioridad alta. Cuando todos los elementos de prioridad alta se han examinado, VAPI 2.0 comienza a examinar los elementos de prioridad baja. Si un cliente intenta usar el elemento mientras el elemento está en la cola de prioridad baja, se actualiza dinámicamente la prioridad de los elementos con prioridad alta. Puede haber hasta 30 elementos a la vez en la cola de prioridad baja, que se determina en el primero, primero hacia fuera de la base.

La última área de mejora en el proceso de digitalización es la detección en segundo plano. En VAPI 1.0, la detección en segundo plano se realiza por realiza una única pasada por la tabla de datos adjuntos y enviar los datos adjuntos que no han sido analizados por el archivo de firma o proveedor actual directamente a la DLL antivirus. Cada uno de los almacenes de información privada y pública recibe un subproceso para realizar esta detección en segundo plano y, una vez que el subproceso completa un paso de la tabla de datos adjuntos, el subproceso espera para reiniciar el proceso de almacén de información antes de emprender otro paso. En VAPI 2.0, cada mensajería base de datos (MDB) sigue recibiendo un subproceso para llevar a cabo el análisis de proceso en segundo plano. Sin embargo, ahora el análisis de proceso en segundo plano explora la serie de carpetas que conforman el buzón de cada usuario. Cuando se encuentran elementos que no han sido analizados, se envían al proveedor, y continúa el proceso de digitalización. Proveedores de software antivirus pueden obligar también a una detección en segundo plano para iniciar por medio de un conjunto de claves del registro.

La característica que más se ha solicitado para inclusión en VAPI 1.0 es la capacidad de proporcionar detalles del mensaje, para que los administradores de Exchange pueden realizar un seguimiento de la existencia de virus, determinan cómo han penetrado en una organización de y determinar qué usuarios están afectados. Se ha agregado esta capacidad con VAPI 2.0 porque la detección es ya no se basa directamente en la tabla de datos adjuntos.

Para mejorar la solución de problemas de VAPI, Exchange 2000 Server SP1 implementa nuevos contadores del Monitor de rendimiento de VAPI que los administradores de Exchange pueden utilizar para supervisar el rendimiento de la API de detección de virus. Estos contadores dan al administrador la capacidad de determinar cuánta información se está examinando y la velocidad a la que esa información se está examinando. Esto ayuda al administrador a escalar los servidores de forma más precisa.

La última característica es el nuevo registro de sucesos que es específico de VAPI. Nuevos sucesos que se registran incluyen:
  • Carga y descarga de archivos DLL de proveedor.
  • Detección correcta de los elementos.
  • Virus que se encuentran en el almacén de información.
  • Comportamiento inesperado de la VAPI.
Puede determinar si está utilizando un detector VAPI buscando la clave del registro siguiente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Esta clave del registro no existe si no está instalado un detector VAPI.

El siguiente es un ejemplo de suceso que se pudo registrar si el programa VSAPI examina los archivos a través de la ruta de acceso de //./backofficestorage/:
Event ID: 2045 Source: McAfee GroupShield 
The description for Event ID ( 2045 ) in Source ( McAfee GroupShield ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer.

The On-Demand 4 Hours Cycle scanner failed to scan the item 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject .EML' with error 80040e19.
Para obtener más información acerca de los problemas que pueden producirse si examina la unidad M:, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
299046 elementos del calendario desaparecen de las carpetas del usuario

300608 es un error "C1041737" y un evento 470 ID mensaje puede mostrarse cuando intente montar las bases de datos

307824 no se puede instalar el componente de notificaciones de Exchange en la unidad M de un servidor de Exchange 2000

298924 problemas debidos a una copia de seguridad o a una exploración de la unidad M de Exchange 2000

Detectores basados en ESE

Los detectores basados en ESE, como algunas versiones de Antigen usan una interfaz entre el almacén de información y el motor de almacenamiento Extensible (ESE) que es compatible con Microsoft. Cuando se utiliza este tipo de software, corre el riesgo de pérdida de datos y daños de la base de datos si hay errores en la implementación del software.



Durante la instalación, el detector basado en ESE cambia el servicio Almacén de información de Exchange Server para que sea dependiente del servicio específico. Esto asegura que el servicio se inicia antes que el servicio Almacén de información de Exchange Server. Durante el proceso de inicio, servicio del detector de virus comprueba las versiones del software, de Exchange Server y las versiones de archivo apropiado. Si se encuentra alguna incompatibilidad, el software de Antigen se deshabilita, habilita el almacén de información se inicie sin protección antivirus y, a continuación, notifica a los administradores.


Cuando el detector basado en ESE se inicia correctamente, la versión de Microsoft del archivo Ese.dll cambia su nombre temporalmente por Xese.dll y la versión de Antigen del archivo Ese.dll reemplaza al archivo original. Una vez cargada la versión de Antigen del archivo Ese.dll, se cambia el nombre de la versión de Microsoft vuelve a llamarse Ese.dll y el almacén de información de Exchange Server se habilita para completar su proceso de inicio.


Los clientes que ponerse en contacto con los servicios de soporte técnico de Microsoft pueden pedir que deshabiliten el servicio Antigen para ayudar a identificar los problemas, pero los clientes pueden habilitarlo de nuevo una vez que se diagnostique la causa del problema.

Lecturas adicionales

Para obtener más información acerca del software antivirus que se utiliza con Exchange Server, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
285667 descripción antivirus API 2.0 en el Service Pack 1 de Exchange 2000 Server

298924 problemas debidos a una copia de seguridad o a una exploración de la unidad M de Exchange 2000

245822 recomendaciones para solucionar problemas de un equipo con Exchange Server con software antivirus instalado

253111 se registran sucesos de error cuando el servicio de base de datos de Exchange Server se deniega el acceso de escritura a sus propios archivos .edb o al archivo .chk

176239 base de datos no se inicia; el registro circular eliminó el archivo de registro demasiado pronto

Para obtener la información más reciente sobre virus, alertas de seguridad y proveedores de software de protección antivirus, use los siguientes recursos:

Microsoft

ICSA

ICSA, una combinación de GartnerGroup, proporciona servicios de seguridad de Internet.

CERT Coordination Center

El centro de coordinación de CERT forma parte de la iniciativa Survivable Systems de Software Engineering Institute, una investigación financiado por el gobierno federal y el centro de desarrollo que está patrocinado por el departamento de defensa de Estados Unidos y operado por Carnegie Mellon University.

Network Associates

Trend Micro

Computer Associates

Norton AntiVirus (Symantec)

Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de terceros.
Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o la confiabilidad de estos productos.
Propiedades

Id. de artículo: 328841 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios