Program Exchange a oprogramowanie antywirusowe

Ważne Niniejszy artykuł zawiera informacje, które opisują, jak obniżyć poziom zabezpieczeń lub wyłączyć funkcje zabezpieczeń na komputerze. Zmiany te można wprowadzić w celu obejścia określonego problemu. Zaleca się, aby przed wprowadzeniem tych zmian ocenić zagrożenie związane z zastosowaniem tego obejścia w danym środowisku. W przypadku zastosowania tego obejścia należy podjąć odpowiednie kroki dodatkowe, aby pomóc w ochronie systemu.

Streszczenie

Ten artykuł zawiera omówienie różnych typów programów antywirusowych, które są najczęściej używane z programem Exchange 2000 Server. W artykule opisano zalety i wady różnych programów antywirusowych oraz zamieszczono informacje dotyczące rozwiązywania problemów. Nie omówiono rozwiązań umożliwiających filtrowanie SMTP, które są zazwyczaj instalowane na serwerze sieciowym niezależnym od komputera z programem Exchange 2000 Server.

Skanery plików

Skanery plików są programami często używanymi i mogą stwarzać najwięcej problemów, gdy współpracują z programem Exchange 2000 Server. Skanery plików mogą rezydować w pamięci lub mogą być programami na żądanie.
 • Określenie „rezydować w pamięci” odnosi się do części programu antywirusowego sprawdzającego pliki, która jest zawsze ładowana do pamięci. Sprawdza ona wszystkie pliki używane na dysku twardym i w pamięci komputera.
 • Określenie „na żądanie” odnosi się do części programu antywirusowego sprawdzającego pliki, którą można skonfigurować tak, aby pliki na dysku twardym były skanowane ręcznie lub automatycznie (zgodnie z harmonogramem). Należy zwrócić uwagę, że istnieją wersje programów antywirusowych automatycznie rozpoczynające skanowanie „na żądanie” po zaktualizowaniu podpisów wirusów, aby zyskać pewność, że wszystkie pliki zostały przeskanowane przy użyciu najnowszych podpisów.
Podczas korzystania ze skanerów plików z programem Exchange 2000 Server mogą wystąpić następujące problemy:
 • Skanery plików skanują plik, gdy jest on używany lub w zaplanowanym czasie, co może powodować zablokowanie dziennika lub pliku bazy danych programu Exchange albo przeniesienie tych plików do folderu kwarantanny, gdy program Exchange próbuje użyć określonego pliku. Może to spowodować awarię serwera w programie Exchange 2000 oraz wystąpienie błędów -1018.
 • Więcej problemów może wystąpić podczas skanowania dysku M: za pomocą oprogramowania antywirusowego skanującego pliki.

  Oto przykładowe zdarzenie, które może zostać zarejestrowane, jeśli dysk M: zostanie przeskanowany za pomocą oprogramowania antywirusowego skanującego pliki:
 • Skanery plików nie stanowią ochrony przed wirusami znajdującymi się w poczcie e-mail, takimi jak „Mellissa”.

  UWAGA: Wirus „Mellissa” jest wirusem atakującym makra programu Microsoft Word, który może rozprzestrzeniać się w wiadomościach e-mail. Wirus wysyła szkodliwe wiadomości e-mail pod adresy znalezione w osobistych książkach adresowych klientów poczty Microsoft Outlook. Podobne wirusy mogą niszczyć dane.
Za pomocą skanerów plików działających „na żądanie” i „rezydujących w pamięci” nie można skanować następujących folderów:
 • dysku M: programu Exchange 2000 Server;
 • plików dzienników i baz danych programu Exchange (domyślnie znajdują się one w folderze Exchsrvr\Mdbdata);
 • plików MTA programu Exchange w folderze Exchsrvr\Mtadata;
 • dodatkowych plików dziennika, takich jak plik Exchsrvr\nazwa_serwera;
 • folderu serwera wirtualnego Exchsrvr\Mailroot;
 • folderu roboczego, który jest używany do przechowywania tymczasowych plików strumieniowych służących do konwersji wiadomości (domyślnie ten folder znajduje się w lokalizacji \Exchsrvr\MDBData, ale lokalizację można skonfigurować);
 • folderu tymczasowego używanego w połączeniu z narzędziami konserwacyjnymi trybu offline, takimi jak program Eseutil.exe (domyślnie ten folder znajduje się w lokalizacji, z której jest uruchamiany plik .exe, jednak można skonfigurować lokalizację uruchamiania pliku zgodnie z lokalizacją uruchamiania narzędzia);
 • plików usługi replikacji lokacji (SRS, Site Replication Service) w folderze Exchsrvr\Srsdata;
 • plików systemowych Internetowych usług informacyjnych firmy Microsoft (IIS, Internet Information Service) w folderze %SystemRoot%\System32\Inetsrv.

  UWAGA: Zazwyczaj można bezpiecznie uwzględnić foldery Exchsrvr\address, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res i Exchsrvr\Schema w zakresie skanowania. Konieczne może być jednak wykluczenie całego folderu Exchsrvr z zakresu kontrolowanego zarówno przez skanery na poziomie pliku „na żądanie”, jak i skanery „rezydujące w pamięci”. Zdecydowanie zalecane jest tymczasowe wyłączenie oprogramowania skanującego pliki podczas uaktualniania systemu operacyjnego i programu Exchange. Dotyczy to uaktualniania do nowych wersji programu Exchange lub systemu operacyjnego oraz stosowania dowolnych poprawek lub dodatków Service Pack programu Exchange lub systemu operacyjnego.
Aby uzyskać więcej informacji dotyczących folderu roboczego, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
822936 Message flow to the local delivery queue is very slow

Za pomocą skanerów plików działających „na żądanie” i „rezydujących w pamięci” nie można skanować następujących typów plików:
 • plików .edb;
 • plików .stm (w programie Exchange 2000 Server);
 • plików .log.
Ze skanowania za pomocą skanerów plików działających „na żądanie” i „rezydujących w pamięci” można wykluczyć folder zawierający pliki Checkpoint (.chk).

UWAGA: Nawet jeżeli pliki baz danych i pliki dzienników programu Exchange zostaną przeniesione do nowych lokalizacji i foldery te zostaną wykluczone, plik .chk może nadal być skanowany.
Aby uzyskać więcej informacji o tym, co może się stać podczas skanowania pliku .chk, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
253111 Error events are logged when the Exchange Server database service is denied write access to its own .edb files or to the .chk file

176239 Database won't start; circular logging deleted log file too soon

Skanery MAPI

Pierwsza generacja skanerów antywirusowych zawierających agenta programu Exchange była oparta na interfejsie MAPI. Skanery te logują się do poszczególnych skrzynek pocztowych przy użyciu interfejsu MAPI, a następnie skanują te skrzynki w poszukiwaniu znanych wirusów.

Zalety skanera MAPI w porównaniu ze skanerem plików:
 • Skaner MAPI może wyszukiwać wirusy w poczcie e-mail, takie jak „Mellissa”.
 • Skaner MAPI nie ma negatywnego wpływu na pliki dzienników lub pliki baz danych programu Exchange.
Wady skanera MAPI:
 • Skaner MAPI nie może skanować zainfekowanej wiadomości e-mail przed otwarciem tej wiadomości przez użytkownika. Skaner MAPI nie uniemożliwia użytkownikowi otwarcia zainfekowanej wiadomości e-mail, jeżeli skaner najpierw nie wykryje takiej wiadomości.
 • Skaner MAPI nie może skanować wiadomości wychodzących.
 • Skaner MAPI nie rozpoznaje filtru magazynu jednego wystąpienia programu Exchange, więc program może skanować jedną wiadomość wiele razy, jeżeli taka wiadomość znajduje się w wielu skrzynkach pocztowych. Dlatego czas skanowania skanera MAPI może być dłuższy.
Ponieważ skaner MAPI może wykrywać wirusy poczty e-mail, jest lepszym rozwiązaniem niż skaner plików. Istnieją jednak lepsze rozwiązania, które omówiono w dalszej części tego artykułu.

Skanery VAPI, AVAPI lub VSAPI

Interfejs VAPI (Virus Application Programming Interface lub Virus API) jest nazywany także interfejsem AVAPI (Antivirus API) lub VSAPI (Virus Scanning API).

Interfejs VAPI 1.0 pojawił się po raz pierwszy w programie Exchange Server 5.5 z dodatkiem Service Pack 3 (SP3) i był używany do chwili wprowadzenia na rynek programu Exchange 2000 Server. Interfejs VAPI 1.0 był wielokrotnie ulepszany w celu poprawienia wydajności w programie Exchange Server 5.5.
Aby uzyskać więcej informacji na ten temat, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
248838 Exchange Server 5.5 post-Service Pack 3 information store fixes available

W programie Exchange 2000 Server z dodatkiem Service Pack 1 (SP1) wprowadzono interfejs VAPI 2.0. Interfejs VAPI 2.0 nie jest obsługiwany w programie Exchange 5.5. Oba interfejsy, VAPI 1.0 i VAPI 2.0, obsługują skanowanie na żądanie.

Jeżeli jest używany skaner VAPI i klient próbuje otworzyć wiadomość, wykonywane jest porównanie w celu upewnienia się, że treść wiadomości i załącznik zostały przeskanowane przy użyciu aktualnego pliku z podpisami wirusów. Jeżeli aktualny dostawca lub plik podpisu nie przeskanował zawartości, odpowiedni składnik wiadomości jest przesyłany do dostawcy programu antywirusowego do skanowania, zanim zostanie przesłany do klienta. Klient może korzystać z konwencjonalnego klienta MAPI lub klienta internetowego opartego na protokole, np. POP3 (Post Office Protocol w wersji 3), OWA (Outlook Web Access) firmy Microsoft lub IMAP4 (Internet Message Access Protocol w wersji 4rev1).

W interfejsie VAPI 2.0 cała treść wiadomości i załącznik są przetwarzane w jednej kolejce. Poszczególne elementy umieszczane w kolejce jako elementy „na żądanie” są elementami o wysokim priorytecie. Ta kolejka jest teraz obsługiwana przez serię wątków, a elementy o wysokim priorytecie są zawsze najważniejsze. Domyślna liczba wątków jest równa 2 * liczba_procesorów + 1. Umożliwia to jednoczesne przesyłanie wielu elementów do dostawcy. Wątki klientów nie są już powiązane z wartościami limitu czasu oczekującymi na zwolnienie elementów. Po przeskanowaniu elementów i oznaczeniu ich jako „bezpieczne” wątek klienta jest powiadamiany o tym, że element jest dostępny. Wątek klienta czeka domyślnie maksymalnie trzy minuty na powiadomienie o dostępności żądanych danych, po czym następuje koniec limitu czasu.

Nowszą funkcją interfejsu VAPI 2.0 jest proaktywne skanowanie wiadomości. W interfejsie VAPI 1.0 informacje w załączniku były skanowane tylko wtedy, gdy załącznik był używany. W interfejsie VAPI 2.0 elementy są dostarczane do wspólnej kolejki magazynu informacji podczas przesyłania do magazynu informacji. Każdy z tych elementów w kolejce ma niski priorytet, więc żaden z nich nie przeszkadza w skanowaniu elementów o wysokim priorytecie. Po przeskanowaniu wszystkich elementów o wysokim priorytecie interfejs VAPI 2.0 rozpoczyna skanowanie elementów o niskim priorytecie. Priorytet poszczególnych elementów jest uaktualniany dynamicznie do wysokiego, jeżeli klient próbuje użyć danego elementu, a element ten znajduje się kolejce o niskim priorytecie. W kolejce o niskim priorytecie może znajdować się jednocześnie maksymalnie 30 elementów. W kolejce obowiązuje zasada FIFO (pierwszy na wejściu, pierwszy na wyjściu).

Ostatnim ulepszeniem w procesie skanowania jest skanowanie w tle. W interfejsie VAPI 1.0 skanowanie w tle jest wykonywane w postaci jednego przebiegu przez tabelę załączników i dostarczenia załączników, które nie były skanowane przez bieżącego klienta lub plik podpisów do biblioteki DLL programu antywirusowego. Wszystkie prywatne i publiczne magazyny informacji otrzymują po jednym wątku w celu wykonania skanowania w tle, a po zakończeniu przesyłania tabeli załączników wątek oczekuje na ponowne uruchomienie procesu magazynu informacji, aby ponownie przesłać dane. W interfejsie VAPI 2.0 każda baza danych obsługi wiadomości (MDB, Messaging Database) nadal ma jeden wątek, aby wykonać skanowanie w tle. Teraz jeden proces skanowania w tle przechodzi do grupy folderów tworzących skrzynki pocztowe poszczególnych użytkowników. Po napotkaniu elementu, który nie był skanowany, element ten jest przesyłany do dostawcy, a proces skanowania jest kontynuowany. Dostawcy programów antywirusowych mogą także wymuszać skanowanie w tle za pomocą grupy kluczy rejestru.

Funkcją, która była najbardziej potrzebna w interfejsie VAPI 1.0, była możliwość wyświetlania informacji o wiadomości, tak aby administratorzy programu Exchange mogli śledzić wirusy, określić, jak penetrowały one organizację i określić, którzy użytkownicy zostali zaatakowani. Ta możliwość została dodana do interfejsu VAPI 2.0, ponieważ funkcja skanowania nie znajduje się już poza tabelą załączników.

Aby ulepszyć rozwiązywanie problemów z interfejsem VAPI, w dodatku SP1 dla programu Exchange 2000 Server są dostępne nowe liczniki Monitora wydajności VAPI, za pomocą których administratorzy programu Exchange mogą śledzić wydajność interfejsu VAPI. Liczniki te umożliwiają administratorowi określenie ilości skanowanych informacji i szybkości skanowania. Dzięki temu administrator może dokładniej skalować serwery.

Ostatnią funkcją jest rejestrowanie nowych zdarzeń, opcja charakterystyczna dla interfejsu VAPI. Rejestrowane są następujące nowe zdarzenia:
 • ładowanie i wyładowywanie bibliotek DLL dostawcy,
 • pomyślne skanowanie elementów,
 • wirusy znajdujące się w magazynie informacji,
 • nieoczekiwane zachowanie w interfejsie VAPI.
Informacje o tym, czy używany jest skaner VAPI, znajdują się w następującym kluczu rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Jeżeli skaner VAPI nie jest zainstalowany, ten klucz nie istnieje w rejestrze.

Oto przykładowe zdarzenie, które może zostać zarejestrowane, jeśli program VSAPI skanuje pliki przez ścieżkę //./backofficestorage/: Aby uzyskać więcej informacji dotyczących problemów, które mogą wystąpić podczas skanowania dysku M:, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
299046 XADM: Elementy kalendarza znikają z folderów użytkowników

300608 A "C1041737" error and an event ID 470 message may be displayed when you attempt to mount databases

307824 You cannot install the Exchange Notifications component on drive M: of an Exchange 2000 server

298924 Issues caused by a back-up or by a scan of the Exchange 2000 M: drive

Skanery ESE

W skanerach ESE, tak jak w niektórych wersjach programu Antigen, jest używany interfejs między magazynem informacji a aparatem ESE (Extensible Storage Engine) obsługiwany przez firmę Microsoft. Korzystanie z oprogramowania tego typu grozi uszkodzeniem bazy danych i utratą danych, jeżeli podczas jego implementacji wystąpią błędy.Podczas instalacji skaner ESE wprowadza zmiany do usługi Magazyn informacji programu Exchange Server, uzależniając go od konkretnej usługi. Dzięki temu zyskuje się pewność, że usługa zostanie uruchomiona przed uruchomieniem usługi Magazyn informacji programu Exchange Server. Podczas uruchamiania usługa skanera szuka odpowiednich wersji własnego oprogramowania, programu Exchange Server i odpowiednich wersji plików. Po znalezieniu niezgodności oprogramowanie Antigen wyłącza się, włącza magazyn informacji w celu uruchomienia bez ochrony antywirusowej, a następnie powiadamia administratorów.


Gdy skaner ESE zostanie uruchomiony pomyślnie, zmieniana jest nazwa pliku Ese.dll w wersji firmy Microsoft (na Xese.dll), a wersja pliku Ese.dll programu Antigen zastępuje oryginalny plik. Po załadowaniu wersji pliku Ese.dll programu Antigen nazwa pliku w wersji firmy Microsoft jest zmieniana z powrotem na Ese.dll i włączany jest magazyn informacji programu Exchange Server w celu zakończenia procesu uruchamiania.


Klienci kontaktujący się z Pomocą techniczną firmy Microsoft mogą zostać poproszeni o wyłączenie usługi Antigen, aby ułatwić znalezienie problemów, ale mogą ponownie włączyć oprogramowanie Antigen po właściwym zdiagnozowaniu głównej przyczyny problemu.

Materiały uzupełniające

Aby uzyskać więcej informacji dotyczących oprogramowania antywirusowego używanego z programem Exchange Server, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
285667 Understanding virus scanning API 2.0 in Exchange 2000 Server Service Pack 1

298924 Issues caused by a back-up or by a scan of the Exchange 2000 M: drive

245822 Zalecenia dotyczące rozwiązywania problemów na komputerze z programem Exchange Server z zainstalowanym oprogramowaniem antywirusowym

253111 Error events are logged when the Exchange Server database service is denied write access to its own .edb files or to the .chk file

176239 Database won't start; circular logging deleted log file too soon

Aby uzyskać najnowsze informacje dotyczące alertów wirusowych i związanych z zabezpieczeniami oraz dostawców oprogramowania antywirusowego, zapoznaj się z następującymi zasobami:

Microsoft

ICSA

Firma ICSA, wchodząca w skład GartnerGroup, świadczy usługi weryfikacji skuteczności zabezpieczeń internetowych.

CERT Coordination Center

Centrum CERT Coordination Center jest częścią Survivable Systems Initiative w instytucie Software Engineering Institute, centrum badawczo-rozwojowym finansowanym przez Departament Obrony Stanów Zjednoczonych i prowadzonym przez Carnegie Mellon University.

Computer Incident Advisory Capability

Computer Incident Advisory Capability prowadzi serwis informacyjny i świadczy usługi pomocy technicznej na wezwanie dla jednostek Departamentu Energii (DOE) w przypadku problemów z zabezpieczeniami komputerów.

Network Associates

Trend Micro

Computer Associates

Norton AntiVirus (Symantec)

Firma Microsoft podaje informacje o sposobach kontaktu z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą się zmienić bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.
Produkty omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie daje żadnych gwarancji, domyślnych ani żadnego innego rodzaju, odnośnie do wydajności lub niezawodności tych produktów.
Właściwości

Identyfikator artykułu: 328841 — ostatni przegląd: 23.04.2007 — zmiana: 1

Opinia