你目前正处于脱机状态,正在等待 Internet 重新连接

Exchange 和防病毒软件

重要说明:本文向您介绍如何在计算机上降低安全设置或关闭安全功能。您可以进行这些更改来作为解决特定问题的替代办法。我们建议您在进行更改之前,充分考虑在您的特定环境中实施这种替代方法可能带来的风险。如果实施该替代方法,请采取任何适当的附加措施来保护您的系统。
概要
本文简要介绍通常与 Exchange 2000 Server 配合使用的不同类型的病毒扫描程序,并列出不同类型扫描程序的优点和缺点,以及故障排除注意事项。本文未介绍通常安装在网络服务器(独立于基于 Exchange 2000 Server 的计算机)上的 SMTP 筛选解决方案。

返回页首

文件级扫描程序

文件级扫描程序常用于 Exchange 2000 Server,并且最有可能在与它配合使用时出现问题。文件级扫描程序可能是“内存驻留”或“按需”文件级扫描程序:
  • “内存驻留”文件级扫描程序是指一直加载在内存中的一部分文件级防病毒软件。它会检查硬盘和计算机内存中正在使用的所有文件。
  • “按需”文件级扫描程序是指您可以进行配置以手动或按照日程安排扫描硬盘上文件的一部分文件级防病毒软件。请注意,有些版本的防病毒软件在更新病毒签名之后,会自动启动“按需”扫描,以确保使用最新的病毒签名扫描所有文件。
在 Exchange 2000 Server 中使用文件级扫描程序时,可能会出现下列问题:
  • 文件级扫描程序扫描正在使用的文件或按计划间隔扫描文件,并可能在 Exchange 尝试使用 Exchange 日志或数据库文件时锁定或隔离该文件。这可能会导致 Exchange 2000 Server 中出现服务器故障,还可能生成 -1018 错误。
  • 如果使用文件级扫描软件扫描驱动器 M,则可能会出现更多的问题。

    下面是通过文件级扫描程序扫描 M:驱动器时可能记录的事件的一个示例:

    事件:ID 6来源:Norton Antivirus无法找到源 (Norton AntiVirus) 中事件 ID (6) 的说明。本地计算机可能没有必要的注册表信息或消息 DLL 文件显示来自远程计算机的消息。  扫描无法打开文件 M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML

  • 文件级扫描程序并不防护“Melissa”病毒之类的电子邮件病毒。

    注意:“Melissa”病毒是一种 Microsoft Word 宏病毒,可以通过电子邮件进行传播。该病毒会将不适当的电子邮件发送至它在 Microsoft Outlook 邮件客户端“个人通讯簿”中找到的地址。类似的病毒可导致数据破坏。
从“按需”和“内存驻留”文件级扫描程序中排除下列文件夹:
  • Exchange 2000 Server 驱动器 M。
  • Exchange 数据库和日志文件。默认情况下,这些文件位于 Exchsrvr\Mdbdata 文件夹中。
  • Exchsrvr\Mtadata 文件夹中的 Exchange MTA 文件。
  • 其他日志文件,例如 Exchsrvr\server_name.log 文件。
  • Exchsrvr\Mailroot 虚拟服务器文件夹。
  • 用于存储临时流文件(用于邮件转换)的工作文件夹。在默认情况下,此文件夹位于 \Exchsrvr\MDBData,不过您可以配置此位置。
  • 与脱机维护实用工具(如 Eseutil.exe)联合使用的临时文件夹。默认情况下,从此文件夹运行 .exe 文件,但是您可以在运行此实用工具时配置从其中运行文件的位置。
  • Exchsrvr\Srsdata 文件夹中的“站点复制服务”(SRS) 文件。
  • %SystemRoot%\System32\Inetsrv 文件夹中的 Microsoft Internet 信息服务 (IIS) 系统文件。

    注意:将 Exchsrvr\address、Exchsrvr\bin、Exchsrvr\Exchweb、Exchsrvr\Res 和 Exchsrvr\Schema 文件夹包含在扫描中通常是安全的。但是,您可能需要从“按需”和“内存驻留”文件级扫描程序中排除整个 Exchsrvr 文件夹。我们强烈建议在操作系统和 Exchange 升级过程中,暂时禁用基于文件的扫描软件;这包括升级到 Exchange 或操作系统的新版本,以及应用任何 Exchange 或操作系统修补程序或 Service Pack。
有关工作文件夹的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
822936消息流入本地传递队列非常慢
从“按需”和“内存驻留”文件级扫描程序中排除下列文件类型:
  • .edb
  • .stm(位于 Exchange 2000 Server 上)
  • .log
从“内存驻留”和“按需”扫描程序中排除包含检查点 (.chk) 文件的文件夹。

注意:即使您将 Exchange 数据库和日志文件移至新位置,并且排除这些文件夹,仍可能扫描 .chk 文件。 有关扫描 .chk 文件时可能出现的情况的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
253111当 Exchange Server 数据库服务对其自身的 .edb 文件或 .chk 文件的写入访问权限被拒绝时,将记录错误事件
176239 XADM:数据库不启动;循环日志记录删除日志文件太快
返回页首

MAPI 扫描程序

包含 Exchange 代理的第一代病毒扫描程序是基于 MAPI 的扫描程序。这些扫描程序对每个邮箱执行 MAPI 登录,然后扫描邮箱中是否存在已知病毒。

与基于文件的扫描程序相比,MAPI 扫描程序具有下列优点:
  • MAPI 扫描程序可以扫描电子邮件病毒,例如“Melissa”病毒。
  • MAPI 扫描程序不会干扰 Exchange 日志或数据库文件。
MAPI 扫描程序存在下列缺点:
  • MAPI 扫描程序不能在用户打开电子邮件之前扫描感染病毒的电子邮件。如果 MAPI 扫描程序未首先检测感染病毒的电子邮件,则它不会阻止用户打开感染病毒的电子邮件。
  • MAPI 扫描程序无法扫描出站邮件。
  • MAPI 扫描程序无法识别 Exchange 零备份存储筛选器,因此如果在多个邮箱中存在相同的邮件,该扫描程序可能会对单个邮件进行多次扫描。因此,MAPI 扫描程序在执行扫描时可能要花费更长的时间。
由于 MAPI 扫描程序可以检测电子邮件病毒,因此它优于文件级扫描程序。但是,还有更好的扫描程序可供选择,这些将在本文稍后部分进行介绍。

返回页首

VAPI、AVAPI 或 VSAPI 扫描程序

病毒应用程序编程接口,即病毒 API (VAPI),还称为防病毒 API (AVAPI) 或病毒扫描 API (VSAPI)。

Exchange Server 5.5 Service Pack 3 (SP3) 中引入了 VAPI 1.0,并且一直使用至 Exchange 2000 Server。VAPI 1.0 已进行了许多改进,以提高 Exchange Server 5.5 的性能。 有关此主题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248838XADM:Exchange Server 5.5 后 Service Pack 3 信息存储修补程序现已发布
Exchange 2000 Server Service Pack 1 (SP1) 中引入了 VAPI 2.0。Exchange 5.5 不支持 VAPI 2.0。VAPI 1.0 和 VAPI 2.0 均支持按需扫描。

当您使用 VAPI 扫描程序并且某个客户尝试打开邮件时,系统将进行比较以确保当前病毒签名文件已扫描邮件正文和附件。如果当前供应商或签名文件尚未扫描该内容,则会将相应的邮件组件提交给防病毒软件供应商,以便在向客户发布该邮件组件之前进行扫描。该客户可能正在使用常规 MAPI 客户端或基于 Internet 协议的客户端,例如邮局协议版本 3 (POP3)、Microsoft Outlook Web Access (OWA)、Internet 邮件访问协议版本 4rev1 (IMAP4)。

在 VAPI 2.0 中,单个队列处理所有邮件正文和附件数据。作为“按需”项目提交给此队列的项目被作为高优先级项目提交。现在,一系列的线程为此队列提供服务,高优先级的项目始终优先处理。线程的默认编号为 2 * 'number_of_processors' + 1。这可以同时向供应商提交多个项目。此外,客户端线程不再受等待发布项目的“超时”值所约束。扫描项目并标记其安全之后,系统将通知客户端线程该项目可用。默认情况下,客户端线程最多等待三分钟以获得所请求数据可用性的通知,超过该时间即出现超时。

VAPI 2.0 中新增的一项功能是主动扫描邮件。在 VAPI 1.0 中,邮件附件信息只有在使用时才进行扫描。在 VAPI 2.0 中,项目被提交给信息存储时,将同时提交给公用信息存储队列。其中每个项目在该队列中的优先级都较低,因此这些项目不会干扰对高优先级项目的扫描。扫描完所有高优先级项目之后,VAPI 2.0 开始扫描低优先级项目。如果客户在项目位于低优先级队列中时尝试使用该项目,该项目的优先级将动态升级到高优先级。低优先级队列中最多同时存在 30 个项目,并且基于先进先出原则进行处理。

扫描进程改进的最后一个方面是后台扫描。在 VAPI 1.0 中,通过对附件表进行一遍扫描,以及将当前供应商或签名文件尚未扫描的附件直接提交给病毒 DLL,来执行后台扫描。每个专用和公用信息存储都会收到一个线程来执行此后台扫描,在该线程完成对附件表的一遍扫描之后,该线程将等待信息存储进程重新启动,然后执行一遍扫描。在 VAPI 2.0 中,每个邮件数据库 (MDB) 仍将收到一个线程来执行后台扫描进程。但是,现在后台扫描进程会浏览构成每个用户邮箱的文件夹系列。遇到尚未扫描的项目时,就将其提交给供应商,并继续执行扫描进程。防病毒软件供应商还可能通过一组注册表项来强制执行后台扫描。

用户最强烈要求添加至 VAPI 1.0 的功能是能够提供邮件详细资料,以便 Exchange 管理员可以跟踪病毒的存在情况,确定病毒如何渗入组织以及确定感染病毒的用户。此功能已添加至 VAPI 2.0,因为扫描不再直接基于附件表。

为增强 VAPI 的故障排除功能,Exchange 2000 Server SP1 实现了新的 VAPI 性能监视器计数器,Exchange 管理员可以使用它们来跟踪病毒扫描 API 的性能。管理员可以通过这些计数器确定有多少信息被扫描以及扫描这些信息的速率。这有助于管理员更准确地调整服务器。

最后一个功能是特定于 VAPI 的新的事件日志功能。所记录的新事件包括:
  • 加载和卸载供应商 DLL。
  • 成功扫描项目。
  • 在信息存储中找到的病毒。
  • VAPI 中的意外行为。
您可以通过查找下列注册表项,确定是否正在使用 VAPI 扫描程序:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
如果未安装 VAPI 扫描程序,则不存在此注册表项。

下面是 VSAPI 程序通过 //./backofficestorage/ 路径扫描文件时可能记录的事件的示例:

事件 ID: 2045 来源:McAfee GroupShield 无法找到源 (McAfee GroupShield) 中事件 ID (2045) 的说明。本地计算机可能没有必要的注册信息或消息 DLL 文件来从远程计算机显示消息。 “按需”4 小时循环扫描程序扫描项目‘file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject.EML’失败,返回错误 80040e19。

有关扫描驱动器 M 时可能出现的问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
299046XADM:看不到用户文件夹中的日历项目
300608 XADM:当您尝试装入数据库时可能会显示“C1041737”错误和事件 ID 470 消息
307824 您无法在 Exchange 2000 服务器的驱动器 M 上安装 Exchange Notifications 组件
298924 备份或扫描 Exchange 2000 M 驱动器引发的问题
返回页首

基于 ESE 的扫描程序

基于 ESE 的扫描程序(如某些版本的 Antigen)使用信息存储以及 Microsoft 不支持的可扩展存储引擎 (ESE) 之间的接口。当您使用这种类型的软件时,如果在实现该软件的过程中出现错误,您会遭受损坏数据库和丢失数据的危险。

安装期间,基于 ESE 的扫描程序将更改 Exchange Server 信息存储服务,以使其依赖于特定于供应商的服务。这可以确保在启动 Exchange Server 信息存储服务之前,启动该供应商的服务。在启动过程中,扫描程序的服务将检查其软件和 Exchange Server 的相应版本以及相应的文件版本。如果发现不兼容现象,该供应商的软件将禁用自身,使信息存储能够在不进行病毒防护的情况下启动,然后通知管理员。

基于 ESE 的扫描程序成功启动后,Microsoft 版本的 Ese.dll 文件被临时重命名为 Xese.dll,该供应商的 Ese.dll 文件版本将替换原始文件。加载该供应商的 Ese.dll 文件版本之后,Microsoft 版本将再次重命名为 Ese.dll,并启用 Exchange Server 信息存储以完成其启动过程。

与 Microsoft 产品支持服务联系的客户可能被要求禁用 Sybari Antigen 服务,以帮助识别问题,但在正确诊断出问题的根源之后,客户可以再次自由启用该软件。Microsoft 和 Sybari 一致认为这是确定问题根源的有效故障排除步骤。要与 Sybari Software 联系,请访问下面的 Sybari 网站:返回页首

附加阅读材料

有关与 Exchange Server 配合使用的病毒扫描软件的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
285667XADM:了解 Exchange 2000 Service Pack 1 中的病毒扫描 API 2.0
298924 备份或扫描 Exchange 2000 M 驱动器引发的问题
245822 有关在安装了防病毒软件的 Exchange Server 计算机上排除故障的建议
253111 当 Exchange Server 数据库服务对其自身的 .edb 文件或 .chk 文件的写入访问权限被拒绝时,将记录错误事件
176239 XADM:数据库不启动;循环日志记录删除日志文件太快
有关病毒和安全警报以及病毒防护软件供应商的最新信息,请使用下列资源:

Microsoft

ICSA

ICSA 是 GartnerGroup 的子公司,提供 Internet 安全保证服务。

CERT Coordination Center

CERT Coordination Center 是 Software Engineering Institute 中 Survivable Systems Initiative 的一部分,Software Engineering Institute 是一家由美国联邦政府资助的研发中心,并受美国国防部的赞助,由 Carnegie Mellon University 负责管理。

Computer Incident Advisory Capability

Computer Incident Advisory Capability 向遇到计算机安全事故的美国能源部 (DOE) 网站提供全天候的技术支持和信息。

Network Associates

Trend Micro

Computer Associates

Norton AntiVirus (Symantec)

Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性,Microsoft 不作任何暗示保证或其他形式的保证。 返回页首
属性

文章 ID:328841 - 上次审阅时间:04/14/2006 12:30:00 - 修订版本: 10.1

  • Microsoft Exchange 2000 Server 标准版
  • kbinfo kbenv kb3rdparty KB328841
反馈