Exchange et les logiciels antivirus

Important Cet article contient des informations vous expliquant comment baisser les paramètres de sécurité ou comment désactiver certaines fonctions de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Cet article contient des informations vous expliquant comment baisser les paramètres de sécurité ou comment désactiver certaines fonctions de sécurité sur un ordinateur. Si vous implémentez cette solution de contournement, prendre toutes les mesures appropriées pour protéger votre système.

Résumé

Cet article fournit une vue d’ensemble des différents types d’analyse antivirus généralement utilisés avec Exchange 2000 Server, les programmes. Cet article répertorie les avantages et inconvénients et considérations de dépannage pour les différents types de scanneurs. Cet article ne décrit pas les solutions de filtrage SMTP qui sont généralement installées sur un serveur réseau distinct de l’ordinateur Exchange 2000 Server.

Analyseurs au niveau fichier

Analyseurs au niveau fichier sont souvent utilisés et peuvent être les plus problématiques pour une utilisation avec Exchange 2000 Server. Analyseurs au niveau fichier peuvent être « Résidant en mémoire » ou « Sur demande » :
  • « Résidant en mémoire » fait référence à une partie du logiciel antivirus au niveau des fichiers qui est chargé en mémoire à tout moment. Elle vérifie tous les fichiers qui sont utilisés sur le disque dur et la mémoire de l’ordinateur.
  • « Sur demande » fait référence à une partie du logiciel antivirus au niveau des fichiers que vous pouvez configurer pour analyser les fichiers sur le disque dur, manuellement ou selon une planification. Notez qu’il existe des versions de logiciels antivirus qui démarrent automatiquement de l’analyse « sur demande » après la mise à jour de signatures de virus pour vous assurer que tous les fichiers ont été analysés avec les dernières signatures.
Les problèmes suivants se produit lorsque vous utilisez l’analyse antivirus au niveau fichier avec Microsoft Exchange Server 2007, Microsoft Exchange Server 2003 ou Exchange 2000 Server :
  • Les analyseurs antivirus au niveau fichier analysent un fichier lorsqu’il est utilisé ou selon un intervalle planifié. L’analyse du fichier, un fichier verrouillé lorsqu’Exchange Server tente d’accéder au fichier pendant qu’il est en cours d’analyse. Cela provoque une défaillance de la banque d’informations Exchange Server à verrouiller le fichier. Finalement, alors le fichier est endommagé ou inutilisable. Tous les fichiers dynamiques qui sont utilisés par Exchange Server doivent être exemptés d’analyse au niveau fichier. La liste de base des fichiers qui doivent être exemptés sont tous les fichiers .edb, fichiers .log, fichiers .chk et STM. Il est recommandé que tous les fichiers qui contient la hiérarchie de dossier qui sont utilisés par Microsoft Exchange Information Store être exemptés d’analyse au niveau fichier.
  • D’autres problèmes peuvent se produire si vous analysez le lecteur M avec un logiciel de détection au niveau fichier.

    Voici un exemple d’événement qui peut être consigné si le lecteur M: est analysé par un programme d’analyse au niveau fichier :
    Event: ID 6 Source: Norton Antivirus 
    The description for Event ID ( 6 ) in Source ( Norton AntiVirus ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote ccomputer.

    Scan could not open file M:\ ORG_NAME .COM\MBX\ User_Name \Inbox\No Subject-15.EML
  • Analyseurs au niveau fichier n’offrent pas de protection contre les virus de messagerie, tels que le virus « Melissa ».

    Remarque: le virus « Melissa » est un virus de macro Microsoft Word qui peut se propager par le biais de messages électroniques. Le virus envoie des messages électroniques incorrects aux adresses qu’il trouve dans les carnets d’adresses personnels sur les clients de messagerie Microsoft Outlook. Des virus similaires peuvent provoquer la destruction de données.
Excluez les dossiers suivants à la fois « sur demande » et « résidants en mémoire » analyseurs au niveau fichier :
  • Le lecteur Exchange 2000 Server M.
  • Bases de données Exchange et les fichiers journaux. Par défaut, ils sont situés dans le dossier Exchsrvr\Mdbdata.
  • Fichiers MTA Exchange du dossier Exchsrvr\Mtadata.
  • Fichiers journaux supplémentaires tels que le fichier .log denom_serveurExchsrvr\.
  • Le dossier de serveur virtuel Exchsrvr\Mailroot.
  • Le dossier de travail qui est utilisé pour stocker les fichiers temporaires qui sont utilisés pour la conversion des messages de diffusion en continu. Par défaut, ce dossier se trouve sous \Exchsrvr\MDBData, mais vous pouvez configurer l’emplacement.
  • Le dossier temporaire utilisé conjointement avec des utilitaires de maintenance hors connexion tels que Eseutil.exe. Par défaut, ce dossier est l’emplacement où le fichier .exe est exécuté à partir de, mais vous pouvez configurer le fichier à partir duquel vous exécutez lorsque vous exécutez l’utilitaire.
  • Fichiers du Service de réplication de site dans le dossier Exchsrvr\Srsdata.
  • Fichiers système Microsoft Internet Information Service (IIS) dans le dossier %SystemRoot%\System32\Inetsrv.

    Remarque: le Exchsrvr\address, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res et Exchsrvr\Schema dossiers sont généralement sûrs à inclure dans une analyse. Toutefois, vous souhaiterez peut-être exclure tout le dossier Exchsrvr de « sur demande » et « résidants en mémoire » analyseurs au niveau fichier. Nous vous recommandons vivement de désactiver temporairement les logiciels basés sur le fichier au cours de système d’exploitation et des mises à niveau Exchange ; Cela inclut la mise à niveau vers les nouvelles versions de Exchange ou le système d’exploitation et appliquez tous les correctifs Exchange ou le système d’exploitation ou service packs.
Pour plus d’informations sur le dossier de travail, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
822936 le flux de messages vers la file d’attente de remise locale est très lent
Exclure des types de fichiers suivants à la fois « sur demande » et « résidants en mémoire » analyseurs au niveau fichier :
  • .edb
  • .stm (sur le serveur Exchange 2000)
  • .log
Excluez le dossier qui contient les fichiers de point de contrôle (.chk) à partir de « résidants en mémoire » et les analyseurs de « sur demande ».

Remarque: même si vous déplacez les bases de données Exchange et vers de nouveaux emplacements des fichiers journaux et que vous excluez ces dossiers, le fichier .chk peut encore être analysé.
Pour plus d’informations sur ce qui peut se produire si le fichier .chk est analysé, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
253111 les événements d’erreur sont enregistrés lorsque le service de base de données Exchange Server est refusé l’accès en écriture à ses propres fichiers .edb ou sur le fichier .chk.
176239 base de données ne démarre pas. l’enregistrement circulaire supprimé le fichier journal trop tôt

Logiciels d’analyse MAPI

La première génération d’antivirus qui incluait un agent Exchange ont été sur l’interface MAPI. Ces logiciels d’analyse effectuent une ouverture de session MAPI sur chaque boîte aux lettres et puis de l’analyse de virus connus.

Le logiciel d’analyse MAPI présente les avantages suivants sur le moteur d’analyse à partir d’un fichier :
  • Le logiciel d’analyse MAPI peut analyser les virus de messagerie, tels que le virus « Melissa ».
  • Le logiciel d’analyse MAPI n’interfère pas avec les fichiers de journal ou de base de données Exchange.
Le logiciel d’analyse MAPI présente les inconvénients suivants :
  • Le logiciel d’analyse MAPI peut ne pas analyse un message électronique infecté avant l’ouverture du message électronique. Le logiciel d’analyse MAPI n’empêche pas un utilisateur d’ouvrir un message électronique infecté si l’analyseur ne détecte pas tout d’abord le message électronique infecté.
  • Le logiciel d’analyse MAPI ne peut pas analyser les messages sortants.
  • Le logiciel d’analyse MAPI ne reconnaît pas le filtre stockage d’Instance simple Exchange, donc il peut analyser un seul message plusieurs fois si celui-ci est présent dans plusieurs boîtes aux lettres. De ce fait, le logiciel d’analyse MAPI peut prendre plus de temps pour effectuer l’analyse.
Le logiciel d’analyse MAPI peut détecter les virus de messagerie, il est préférable qu’un analyseur au niveau fichier. Toutefois, il existe de meilleures options disponibles, et elles sont décrites plus loin dans cet article.

VAPI, AVAPI ou VSAPI

Virus Application Programming Interface ou Virus API (VAPI) est également appelé Antivirus API (AVAPI) ou Virus Scanning API (VSAPI).

VAPI 1.0 a été introduit dans Exchange Server 5.5 Service Pack 3 (SP3) et utilisé jusqu'à Exchange 2000 Server. De nombreuses améliorations ont été apportées à VAPI 1.0 pour améliorer les performances avec Exchange Server 5.5.
Pour plus d’informations sur cette rubrique, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
248838 la banque d’informations Exchange Server 5.5 postérieur au Service Pack 3 résout disponibles

Exchange 2000 Server Service Pack 1 (SP1) introduit VAPI 2.0. VAPI 2.0 n’est pas pris en charge dans Exchange 5.5. VAPI 1.0 et VAPI 2.0 prennent en charge l’analyse sur demande.

Lorsque vous utilisez un logiciel d’analyse VAPI et un client essaie d’ouvrir un message, une comparaison est effectuée pour s’assurer que le corps du message et la pièce jointe ont été analysés par le fichier de signature de virus actuel. Si le fichier en cours de signature ou de fournisseur n’a pas analysé le contenu, le composant de message correspondant est soumis au fournisseur de logiciel antivirus pour analyse avant le composant de message est remis au client. Le client peut utiliser un client MAPI conventionnel ou un client Internet protocole comme protocole Post Office Protocol version 3 (POP3), Microsoft Outlook Web Access (OWA), Internet Message Access Protocol, Version 4rev1 (IMAP4).

Dans VAPI 2.0, une seule file d’attente traite toutes les données du message corps et pièces jointes. Éléments qui sont soumis à cette file d’attente comme des éléments de « sur demande » sont soumis en tant qu’éléments de priorité supérieure. Cette file d’attente est maintenant desservie par une série de threads avec des éléments à priorité élevée toujours prioritaires. Le nombre de threads par défaut est 2 *
'nombre_de_processeurs' + 1. Cela permet à plusieurs éléments à être soumis en même temps au fournisseur. Également, les threads client ne sont plus liés aux valeurs « délai » qui sont en attente pour les articles à être publié. Une fois les éléments analysés et marqués comme sûrs, le thread client est averti que l’élément est disponible. Par défaut, le thread client attend trois minutes pour être averti de la disponibilité des données demandées avant un délai d’attente se produit.

Une nouvelle caractéristique de VAPI 2.0 est l’analyse proactive des messages. Dans VAPI 1.0, les informations de pièce jointe de message étaient analysées uniquement tel qu’il a été utilisé. Dans VAPI 2.0, les éléments sont soumis à une file d’attente de banque d’informations commune lorsqu’ils sont envoyés à la banque d’informations. Chacun de ces éléments reçoit une priorité basse dans la file d’attente, afin que ces éléments n’interfèrent pas avec l’analyse des éléments à priorité élevée. Lorsque tous les éléments de priorité supérieure ont été analysés, VAPI 2.0 commence à analyser les éléments de priorité basse. La priorité des éléments est à jour dynamiquement à priorité élevée si un client tente d’utiliser l’élément tandis que l’élément est dans la file d’attente de priorité basse. Un maximum de 30 éléments peut exister en même temps dans la file d’attente de priorité basse, qui est déterminée selon, premier sorti.

La dernière zone d’amélioration du processus d’analyse est l’analyse en arrière-plan. Dans VAPI 1.0, l’analyse en arrière-plan est effectuée en faisant un seul passage sur la table de la pièce jointe et la soumission des pièces jointes qui n’ont pas été analysés par le fichier de fournisseur ou de signature actuel directement dans la DLL antivirus. Chacune des banques d’informations privées et publiques reçoivent un thread pour effectuer cette analyse en arrière-plan, et une fois que le thread a terminé un passage de la table des pièces jointes, la thread attend le redémarrage du processus de banque d’informations avant d’effectuer un autre passage. Dans VAPI 2.0, chaque MDB (Messaging Database) reçoit toujours un thread pour conduire l’analyse des processus en arrière-plan. Toutefois, maintenant la parcourt la série de dossiers qui compose chaque boîte aux lettres. Lorsque des éléments qui n’ont pas été analysés sont rencontrés, ils sont soumis au fournisseur, et le processus d’analyse se poursuit. Fournisseurs de logiciels antivirus peuvent également forcer une analyse en arrière-plan pour démarrer à l’aide d’un jeu de clés de Registre.

La fonctionnalité la plus demandée pour à VAPI 1.0 est la capacité à fournir les détails du message, afin que les administrateurs Exchange puissent suivre l’existence de virus, à déterminer comment les virus pénétré l’organisation, et déterminer les utilisateurs qui sont affectés. Cette fonctionnalité a été ajoutée avec VAPI 2.0 car l’analyse ne repose n’est plus directement sur la table des pièces jointes.

Pour améliorer la résolution des problèmes de l’interface VAPI, Exchange 2000 Server SP1 implémente de nouveaux compteurs de l’Analyseur de performances VAPI que les administrateurs Exchange peuvent utiliser pour suivre les performances de l’API d’analyse antivirus. Ces compteurs donnent à l’administrateur la possibilité de déterminer la quantité d’informations est en cours d’analyse et de la fréquence à laquelle ces informations sont en cours d’analyse. Ainsi, l’administrateur de serveurs de taille plus précisément.

La dernière fonctionnalité est la nouvelle journalisation des événements qui est spécifique à l’interface VAPI. Nouveaux événements qui sont enregistrés comprennent :
  • Chargement et déchargement des DLL du fournisseur.
  • Analyse réussie des éléments.
  • Virus qui sont trouvent dans la banque d’informations.
  • Comportement inattendu dans l’interface VAPI.
Vous pouvez déterminer si vous utilisez un logiciel d’analyse VAPI en consultant la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Cette clé de Registre n’existe pas si un logiciel d’analyse VAPI n’est pas installé.

Voici un exemple d’événement qui peut être consigné si le programme VSAPI analyse les fichiers par le chemin d’accès //./backofficestorage/ :
Event ID: 2045 Source: McAfee GroupShield 
The description for Event ID ( 2045 ) in Source ( McAfee GroupShield ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer.

The On-Demand 4 Hours Cycle scanner failed to scan the item 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject .EML' with error 80040e19.
Pour plus d’informations sur les problèmes qui peuvent se produire si vous analysez le lecteur M, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
299046 les éléments du calendrier disparaissent des dossiers des utilisateurs

Une erreur « C1041737 » et un événement 470 ID message peut s’afficher lorsque vous essayez de monter les bases de données de 300608

307824 vous ne pouvez pas installer le composant Notifications Exchange sur le lecteur M d’un serveur Exchange 2000

298924 problèmes provoqués par une sauvegarde ou par une analyse du lecteur M Exchange 2000

Logiciels d’analyse ESE

Les logiciels d’analyse ESE, tels que certaines versions d’Antigen, utilisent une interface entre la banque d’informations et le moteur ESE (Extensible Storage) qui est pris en charge par Microsoft. Lorsque vous utilisez ce type de logiciel, vous risquez de perte de dommages et de données de base de données s’il existe des erreurs dans l’implémentation du logiciel.



Pendant l’installation, le logiciel d’analyse ESE modifie le service de banque d’informations Exchange Server afin qu’il soit dépendant du service spécifique. Cela permet de s’assurer que le service démarre avant le service banque d’informations Exchange Server. Au cours du processus de démarrage, le service d’analyse vérifie les versions appropriées de ses logiciels et d’Exchange Server et les versions de fichiers appropriées. Si une incompatibilité est détectée, le logiciel Antigen se désactive, permet à la banque d’informations de démarrer sans protection antivirue et puis avertit les administrateurs.


Lorsque le logiciel d’analyse ESE démarre, la version Microsoft du fichier Ese.dll est temporairement renommée Xese.dll et la version Antigen du fichier Ese.dll remplace le fichier d’origine. Une fois la version Antigen du fichier Ese.dll chargée, la version Microsoft est renommée Ese.dll et la banque d’informations Exchange Server est activée à terminer son processus de démarrage.


Les clients qui contactent les Services de Support technique de Microsoft peuvent être demandés pour désactiver le service Antigen afin d’identifier les problèmes, mais les clients sont libres de réactiver le logiciel Antigen une fois la cause racine du problème correctement diagnostiquée.

Documentation supplémentaire

Pour plus d’informations sur le logiciel antivirus qui est utilisé avec Exchange Server, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
Virus de compréhension 285667 analyse API 2.0 dans Exchange 2000 Server Service Pack 1

298924 problèmes provoqués par une sauvegarde ou par une analyse du lecteur M Exchange 2000

245822 recommandations pour dépanner un ordinateur Exchange Server avec un logiciel antivirus installé

253111 les événements d’erreur sont enregistrés lorsque le service de base de données Exchange Server est refusé l’accès en écriture à ses propres fichiers .edb ou sur le fichier .chk.

176239 base de données ne démarre pas. l’enregistrement circulaire supprimé le fichier journal trop tôt

Pour obtenir les dernières informations sur les virus et les alertes de sécurité et les fournisseurs de logiciels antivirus, utilisez les ressources suivantes :

Microsoft

ICSA

ICSA, une filiale GartnerGroup, fournit des services d’assurance de la sécurité Internet.

Centre de Coordination CERT

Centre de Coordination CERT fait partie du programme Survivable Systems Initiative du Software Engineering Institute, un centre de développement sponsorisée par le département américain de la défense et exploité par Carnegie Mellon University et de fédéral de recherche.

Network Associates

Trend Micro

Computer Associates

AntiVirus Norton (Symantec)

Microsoft fournit des informations pour contacter des sociétés tierces afin de vous aider à obtenir une aide technique. Ces coordonnées peuvent changer sans préavis. Microsoft ne garantit pas l'exactitude des informations de contact de ces tiers.
Les produits tiers dont traite cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft ne fait aucune garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.
Propriétés

ID d'article : 328841 - Dernière mise à jour : 27 janv. 2017 - Révision : 2

Commentaires