Información general de Exchange Server 2003 y el software antivirus

Resumen

Este artículo contiene una visión general de los distintos tipos de análisis de virus de programas que se utilizan normalmente con Microsoft Exchange Server 2003. Este artículo enumera las ventajas, desventajas y consideraciones sobre la solución de problemas para los distintos tipos de detectores. Este artículo describe la Simple transferencia de correo protocolo (SMTP) filtrado de soluciones que se suelen instalar en un servidor diferente que el equipo con Exchange 2003.

Volver al principio

Detectores de nivel de archivo

Detectores de nivel de archivo se usan con frecuencia y pueden ser los más problemáticos para su uso con Exchange 2003. Detectores de nivel de archivo pueden ser residente en memoria o bajo demanda:
  • Residente en memoria hace referencia a una parte del software antivirus de nivel de archivo que se carga en memoria en todo momento. Comprueba todos los archivos que se utilizan en el disco duro y la memoria del equipo.
  • Bajo demanda se refiere a una parte del software antivirus de nivel de archivo que se puede configurar para examinar los archivos en el disco duro manualmente o según una programación. Hay versiones del software antivirus que inician el análisis bajo demanda automáticamente cuando las firmas de virus se actualizan para asegurarse de que todos los archivos se analizan con las firmas más recientes.
Pueden producirse los problemas siguientes al utilizar antivirus de nivel de archivo con Exchange 2003:
  • Análisis detectores de nivel de archivo de que un archivo cuando se utiliza el archivo o en un intervalo programado y estos detectores puede bloquear o poner en cuarentena un registro de Exchange o una base de datos de archivo mientras Exchange 2003 intenta utilizar el archivo. Este comportamiento puede ocasionar un error grave en Exchange 2003 y también puede generar errores -1018.
  • Detectores de nivel de archivo no proporcionan protección contra virus de correo electrónico como Melissa.

    Nota: El virus Melissa es un virus de macro de Microsoft Word que puede propagarse a través de mensajes de correo electrónico. El virus envía mensajes de correo electrónico inapropiados a las direcciones que encuentra en las libretas de direcciones personales de los clientes de correo de Microsoft Outlook. Virus similares pueden ocasionar la destrucción de datos.
Excluya las carpetas siguientes desde los detectores del nivel de archivo bajo demanda y detectores de nivel de archivo residentes en memoria:
  • Archivos de registro en todos los grupos de almacenamiento y bases de datos de Exchange. De forma predeterminada, estos se encuentran en la carpeta Exchsrvr\Mdbdata.
  • Archivos del MTA de Exchange de la carpeta Exchsrvr\Mtadata.
  • Archivos de registro adicionales como el directorio Exchsrvr\servidor.
  • La carpeta de servidor virtual Exchsrvr\Mailroot.
  • La carpeta de trabajo que se utiliza para almacenar los archivos .tmp de transferencia utilizados en la conversión de mensajes. De forma predeterminada, esta carpeta se encuentra en \Exchsrvr\Mdbdata, pero la ubicación es configurable.
    Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
    822936 el flujo de mensajes a la cola de entrega local es muy lento

  • La carpeta temporal que se utiliza junto con utilidades de mantenimiento sin conexión como Eseutil.exe. De forma predeterminada, esta carpeta es la ubicación donde se ejecuta el archivo .exe desde, pero puede configurar donde ejecute el archivo desde cuando ejecuta la utilidad.
  • Archivos de sitio de sitios (SRS) en la carpeta Exchsrvr\Srsdata.
  • Archivos de sistema de Microsoft Internet Information Services (IIS) en la carpeta %SystemRoot%\System32\Inetsrv.

    Nota: Desea excluir toda la carpeta Exchsrvr de detectores de nivel de archivo de petición y los detectores del nivel de archivo residentes en memoria.
  • La carpeta de compresión de servicios de Internet Information Server (IIS) 6.0 que se utiliza con Outlook Web Access 2003. De forma predeterminada, la carpeta de compresión en IIS 6.0 se encuentra en %systemroot%\IIS Temporary Compressed Files.


    Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
    817442 análisis antivirus del directorio IIS Compression pueden resultar en el archivo de 0 bytes

  • Para clústeres, el disco de quórum y la carpeta %Winnt%\Cluster.
  • Las carpetas de programa antivirus de mensajería.
  • La carpeta Exchsrvr\Conndata.
Excluya la carpeta que contiene el archivo de controles (.chk) de los detectores de nivel de archivo residentes en memoria y detectores de nivel de archivo de petición.

Nota: Incluso aunque mueva las bases de datos de Exchange y a nuevas ubicaciones de los archivos de registro y excluya dichas carpetas, puede que el archivo .chk aún se puede examinar.
Para obtener más información acerca de lo que puede ocurrir si se examina el archivo .chk, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
253111 se registran sucesos de error cuando el servicio de base de datos de Exchange Server se deniega el acceso de escritura a sus propios archivos .edb o al archivo .chk

176239 base de datos no se inicia; el registro circular eliminó el archivo de registro demasiado pronto

Muchos detectores de nivel de archivo aceptan ahora procesos de detección. Esto también puede afectar adversamente Exchange. Por lo tanto, debe excluir los siguientes procesos de los detectores de nivel de archivo:
  • Cdb.exe
  • Cidaemon.exe
  • Store.exe
  • Emsmta.exe
  • Mad.exe
  • Mssearch.exe
  • Inetinfo.exe
  • W3wp.exe
Volver al principio

Detectores MAPI

La primera generación de detectores antivirus que incluían un agente Exchange están basadas en MAPI. Estos detectores realizan un inicio de sesión MAPI en cada buzón y luego examinarlo en busca de virus conocidos.

El detector MAPI tiene las ventajas siguientes sobre el detector basado en archivo:
  • El detector MAPI puede buscar virus de correo electrónico como Melissa.
  • El detector MAPI no interfiere con los archivos de registro o base de datos de Exchange.

El detector MAPI tiene las desventajas siguientes:
  • El detector MAPI no puede analizar un mensaje de correo electrónico infectado antes de que un usuario abre el mensaje de correo electrónico. El detector MAPI no impide que un usuario abre un mensaje de correo electrónico infectado si el escáner no detecta primero el mensaje de correo electrónico infectado.
  • El detector MAPI no puede analizar los mensajes salientes.
  • El detector MAPI no reconoce el filtro de almacenamiento de instancia única de Exchange. Por lo tanto, puede explorar un mensaje varias veces si existe el mismo mensaje en varios buzones. Por lo tanto, el detector MAPI puede tardar más tiempo en realizar el análisis.
Dado que el detector MAPI puede detectar virus de correo electrónico, es una opción mejor que el detector de nivel de archivo. Sin embargo, existen otras opciones aún mejores que el detector MAPI y se describen más adelante en este artículo.

Volver al principio

Escáneres de API de detección de virus

Interfaz de programación de aplicaciones de detección de virus (API) también se conoce como antivirus API (VAPI), Antivirus API (AVAPI) o API de detección de virus (VSAPI).

API de detección de virus 1.0 se introdujeron en Service Pack 3 (SP3) de Microsoft Exchange Server 5.5 y fue un estándar hasta el lanzamiento de Exchange 2000. Se realizaron muchas mejoras a 1.0 de API de detección de virus para mejorar el rendimiento con Exchange Server.
Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
248838 Exchange Server 5.5 posteriores al Service Pack 3 información almacén revisiones disponibles


Exchange 2000 Server Service Pack 1 (SP1) incluye 2.0 de API de detección de virus. API de detección de virus 2.0 no se admiten en Exchange Server 5.5. API de detección de virus 1.0 y 2.0 de API de detección de virus soporte de análisis bajo demanda.

Exchange 2003 incluye ahora 2.5 de API de detección de virus. API de detección de virus 2.5 incluyen las características anteriores de la API de detección de virus 2.0 de además de las mejoras siguientes:
  • API de detección de virus mejorada permite que los productos antivirus para ejecutarse en servidores de Exchange 2003 que no tienen buzones de Exchange residentes (por ejemplo, servidores de puerta de enlace o servidores cabeza de puente).
  • API de detección de virus 2.5 permite productos antivirus eliminen mensajes y envíen mensajes al remitente, y mensajes de estado de virus adicionales permiten a los clientes indicar mejor el estado de la infección de un mensaje concreto.
Para obtener más información acerca de las actualizaciones, póngase en contacto con el fabricante del software antivirus.

Cuando se utiliza un detector API de detección de virus y un cliente intenta abrir un mensaje, se realiza una comparación para asegurarse de que el cuerpo del mensaje y datos adjuntos han sido analizados por el archivo de firma de virus actual. Si el archivo de firma de virus actual no ha examinado el contenido, se envía el componente de mensaje correspondiente al producto antivirus para el análisis antes de que se libera el componente de mensaje al cliente. El cliente puede usar un cliente MAPI convencional o un cliente basado en IP como protocolo de oficina de correos versión 3 (POP3), Microsoft Outlook Web Access (OWA) y protocolo de acceso a mensajes de Internet, versión 4rev1 (IMAP4).

API de detección de virus 2.0 y 2.5 de API de detección de virus procesa el mensaje cuerpo y datos adjuntos mediante el uso de una sola cola. Los elementos a petición que se envían a esta cola se marcan como de alta prioridad. En Exchange 2003, esta cola es atendida ahora por una serie de subprocesos, y elementos de alta prioridad siempre tienen prioridad. El número predeterminado de subprocesos es 2 veces númeroDeProcesadores más 1. Esto hace posible que varios elementos que deberá presentarse al producto antivirus al mismo tiempo. Además, los subprocesos del cliente no están ligados a valores de tiempo de espera que están esperando elementos de liberarse. Tras analizar los elementos y los marcados como seguros, se notifica al subproceso del cliente que el elemento está disponible. De forma predeterminada, el subproceso del cliente espera hasta tres minutos para recibir una notificación de la disponibilidad de los datos solicitados antes de que se produzca un tiempo de espera.

API de detección de virus 2.0 y 2.5 de API de detección de virus incluyen un mensaje proactivo basado en función de exploración. En la API de detección de virus 1.0, información de datos adjuntos de mensajes sólo se examinaba cuando se utiliza. En 2.0 de API de detección de virus y 2.5 de API de detección de virus, los elementos se envían a una cola de almacén de información común a medida que son enviados al almacén de información. Cada uno de estos elementos recibe una prioridad baja en la cola, de modo que no interfieren con el análisis de los elementos de prioridad alta. Cuando todos los elementos de prioridad alta se han examinado, 2.0 de API de detección de virus o la API de detección de virus 2.5 de comienza a examinar los elementos de prioridad baja. Si un cliente intenta usar el elemento mientras el elemento está en la cola de prioridad baja, se actualiza dinámicamente la prioridad de los elementos con prioridad alta. Puede haber hasta 30 elementos al mismo tiempo en la cola de prioridad baja y el contenido de esta cola se determina en el primero, primero hacia fuera de la base.

API de detección de virus 2.0 y 2.5 de API de detección de virus incluyen un mejor proceso de detección en segundo plano. En la API de detección de virus 1.0, se lleva a cabo análisis en segundo plano realizando una única pasada por la tabla de datos adjuntos. API de detección de virus 1.0 envía los datos adjuntos que no han sido analizados por el archivo de firma o producto de proveedor de software antivirus actual directamente en la biblioteca de antivirus de vínculos dinámicos (DLL). Cada uno de los almacenes de información privada y de información pública recibe un subproceso para realizar esta detección en segundo plano. Después de que el subproceso completa un paso de la tabla de datos adjuntos, el subproceso espera para reiniciar el proceso de almacén de información antes de emprender otro paso. En 2.0 de API de detección de virus y 2.5 de API de detección de virus, cada base de datos de MDB Messaging sigue recibiendo un subproceso para llevar a cabo el análisis de proceso en segundo plano. Sin embargo, en Exchange 2003, el análisis de proceso en segundo plano explora la serie de carpetas que conforman el buzón de cada usuario. Cuando se encuentran elementos que no han sido analizados, se envían al producto antivirus y continúa el proceso de digitalización. Productos de software antivirus también pueden forzar el inicio de una detección en segundo plano mediante una serie de claves del registro.

La característica más solicitada para su inclusión en 1.0 de API de detección de virus es la que proporciona los detalles del mensaje para que los administradores de Exchange pueden realizar un seguimiento de la existencia de virus, determinan cómo han penetrado en una la organización y determinan los usuarios que se ven afectados. Esta característica se agregó en 2.0 de API de detección de virus porque el análisis están ya no se basa directamente en la tabla de datos adjuntos.

Contadores del Monitor de rendimiento de API de detección de virus pueden utilizarse para supervisar el rendimiento de la API de detección de virus y para mejorar la solución de problemas en 2.0 de API de detección de virus y 2.5 de API de detección de virus. Mediante estos contadores, el administrador puede determinar cuánta información se está examinando y la rapidez de esa información se está examinando. Esto ayuda al administrador a escalar los servidores de forma más precisa.


API de detección de virus 2.0 y 2.5 de API de detección de virus también incluyen el registro de sucesos que es específico de la API de detección de virus. Sucesos que se registran incluyen:
  • Archivos DLL que se carga y descarga de proveedor.
  • Analiza el elemento correcto.
  • Virus que se encuentran en el almacén de información.
  • Comportamiento inesperado de la API de detección de virus.
Volver al principio

Detectores basados en ESE

Los detectores basados en ESE, como algunas versiones de Antigen usan una interfaz entre el almacén de información y el motor de almacenamiento Extensible (ESE) que es compatible con Microsoft. Cuando se utiliza este tipo de software, corre el riesgo de pérdida de datos y daños de la base de datos si hay errores en la implementación del software.


Durante la instalación, el detector basado en ESE cambia el servicio Almacén de información de Exchange Server para que sea dependiente del servicio específico. Esto asegura que el servicio se inicia antes que el servicio Almacén de información de Exchange Server. Durante el proceso de inicio, servicio del detector de virus comprueba las versiones del software, de Exchange Server y las versiones de archivo apropiado. Si se encuentra alguna incompatibilidad, el software de Antigen se deshabilita, habilita el almacén de información se inicie sin protección antivirus y, a continuación, notifica a los administradores.


Cuando el detector basado en ESE se inicia correctamente, la versión de Microsoft del archivo Ese.dll cambia su nombre temporalmente por Xese.dll y la versión de Antigen del archivo Ese.dll reemplaza al archivo original. Una vez cargada la versión de Antigen del archivo Ese.dll, se cambia el nombre de la versión de Microsoft vuelve a llamarse Ese.dll y el almacén de información de Exchange Server se habilita para completar su proceso de inicio.


Los clientes que ponerse en contacto con los servicios de soporte técnico de Microsoft pueden pedir que deshabiliten el servicio Antigen para ayudar a identificar los problemas, pero los clientes pueden habilitarlo de nuevo una vez que se diagnostique la causa del problema.

Volver al principio

Lecturas adicionales

Para obtener más información acerca de software antivirus que se utiliza con Exchange, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
285667 descripción API de detección de virus 2.0 en Exchange 2000 Service Pack 1

298924 problemas debidos a una copia de seguridad o a una exploración de la unidad M de Exchange 2000

245822 recomendaciones para solucionar problemas de un equipo con Exchange Server con software antivirus instalado

253111 se registran sucesos de error cuando el servicio de base de datos de Exchange Server se deniega el acceso de escritura a sus propios archivos .edb o al archivo .chk

176239 base de datos no se inicia; el registro circular eliminó el archivo de registro demasiado pronto

Para obtener la información más reciente acerca de las alertas de seguridad y antivirus y proveedores de software de protección antivirus, visite el siguiente Microsoft y sitios Web de terceros:

MicrosoftICSA

ICSA Labs, una división de TruSecure Corporation, proporciona servicios de seguridad de Internet.CERT Coordination Center

El centro de coordinación de CERT forma parte de la iniciativa Survivable Systems de Software Engineering Institute, una investigación financiado por el gobierno federal y el centro de desarrollo que está patrocinado por el departamento de defensa de Estados Unidos y operado por Carnegie Mellon University.Equipo incidentes Advisory Capability

Computer Incident Advisory Capability proporciona ayuda técnica de llamada e información a sitios de departamento de energía (DOE) que experimentan incidentes de seguridad informática.McAfeeTrend MicroComputer AssociatesSymantec (Mail Security para Exchange, Symantec Antivirus y Norton AntiVirus)Volver al principio

Más información

Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de terceros.


Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o la confiabilidad de estos productos.


Volver al principio
Propiedades

Id. de artículo: 823166 - Última revisión: 17 feb. 2017 - Revisión: 2

Microsoft Exchange Server 2003 Enterprise Edition, Microsoft Exchange Server 2003 Standard Edition

Comentarios