Samenvatting

Dit artikel biedt een overzicht van de verschillende viruscontroleprogramma's die doorgaans worden gebruikt met Exchange 2000 Server. In dit artikel worden de voor- en nadelen van elk type viruscontroleprogramma uiteengezet en wordt er informatie over probleemoplossing gegeven. Hier worden geen SMTP-filteroplossingen beschreven die doorgaans worden geïnstalleerd op netwerkservers die niet zijn aangesloten op Exchange 2000 Server-computers.


Terug naar begin

Viruscontroleprogramma's voor bestanden

Viruscontroleprogramma's voor bestanden worden vaak gebruikt en zijn mogelijk het minst geschikt voor Exchange 2000 Server. Deze programma's kunnen geheugenresident of op afroep beschikbaar zijn:

• Geheugenresident betekent dat een onderdeel van de antivirussoftware voor bestandscontrole altijd in het geheugen is geladen. Alle bestanden die op de vaste schijf en in het computergeheugen worden gebruikt, worden gecontroleerd.
• Op afroep beschikbaar betekent dat u een onderdeel van de software kunt configureren om bestanden op de vaste schijf te controleren, hetzij handmatig, hetzij op basis van een schema. In bepaalde antivirusprogramma's wordt de controle op afroep automatisch uitgevoerd nadat de virushandtekeningen zijn bijgewerkt. Zo worden alle bestanden gecontroleerd met de meest recente beveiligingen.

De volgende problemen kunnen zich voordoen wanneer viruscontroleprogramma's voor bestanden worden gebruikt met Exchange 2000 Server:

• In viruscontroleprogramma's voor bestanden worden bestanden met een gepland interval gecontroleerd of wanneer een bestand wordt gebruikt. Als gevolg daarvan kan een Exchange-logboekbestand of -databasebestand worden vergrendeld of geïsoleerd terwijl in Exchange wordt geprobeerd het bestand te gebruiken. Hierdoor kan er een serverfout optreden in Exchange 2000 Server en kunnen er -1018-fouten worden gegenereerd.
• Er kunnen meer problemen optreden als u station M controleert met viruscontrolesoftware voor bestanden.
  
  Hieronder ziet u een voorbeeld van een gebeurtenis die kan worden vastgelegd als station M: wordt gescand door een viruscontroleprogramma voor bestanden:

  
  Gebeurtenis: ID 6 Bron: Norton Antivirus Kan beschrijving voor gebeurtenis-ID ( 6 ) in bron ( Norton AntiVirus ) niet vinden. De lokale computer beschikt wellicht niet over de benodigde registergegevens of DLL-berichtbestanden om berichten van een externe computer te kunnen weergeven.
Scan could not open file M:\ORG_NAME.COM\MBX\User_Name\Inbox\No Subject-15.EML
  

• Viruscontroleprogramma's voor bestanden bieden geen bescherming tegen e-mailvirussen zoals het Mellissa-virus.
  
  Opmerking Het Mellissa-virus is een Microsoft Word-macrovirus dat via e-mailberichten kan worden verspreid. Met dit virus worden ongepaste -mailberichten verzonden naar e-mailadressen die afkomstig zijn uit persoonlijke adresboeken op e-mailclients met Microsoft Outlook. Bij dergelijke virussen kunnen gegevens worden vernietigd.

Sluit de volgende mappen uit van controle in op afroep beschikbare en geheugenresidente viruscontroleprogramma's voor bestanden:

• Station M in Exchange 2000 Server.
• Exchange-databases en -logboekbestanden. Standaard bevinden deze zich in de map Exchsrvr\Mdbdata.
• Exchange MTA-bestanden in de map Exchsrvr\Mtadata.
• Andere logboekbestanden, zoals het bestand Exchsrvr\servernaam.log.
• De virtuele-servermap Exchsrvr\Mailroot.
• De werkmap die wordt gebruikt voor het opslaan van tijdelijke streaming-bestanden voor het converteren van berichten. Deze map wordt standaard opgeslagen in \Exchsrvr\MDBData, maar u kunt de gewenste locatie configureren.
• De tijdelijke map die wordt gebruikt in combinatie met offline onderhoudsprogramma's zoals Eseutil.exe. Dit is standaard de map van waaruit het EXE-bestand wordt uitgevoerd, maar u kunt de locatie configureren van waaruit u het bestand uitvoert wanneer u het hulpprogramma start.
• SRS-bestanden (Site Replication Service) in de map Exchsrvr\Srsdata.
• Microsoft IIS-bestanden (Internet Information Service) in de map %SystemRoot%\System32\Inetsrv.
  
  Opmerking Het is doorgaans veilig om de mappen Exchsrvr\address, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res en Exchsrvr\Schema op te nemen in een virusscan. Sluit echter de map Exchsrvr uit van controle in op afroep beschikbare en geheugenresidente viruscontroleprogramma's voor bestanden. Wij raden u ten zeerste aan om viruscontroleprogramma's voor bestanden tijdelijk uit te schakelen tijdens een upgrade van het besturingssysteem en van Exchange. Deze aanbeveling geldt tevens voor een upgrade naar nieuwe versies van Exchange of van het besturingssysteem en voor het installeren van correcties of servicepacks voor Exchange of voor het besturingssysteem.

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over de werkmap:

Sluit de volgende bestandstypen uit van controle in op afroep beschikbare en geheugenresidente viruscontroleprogramma's voor bestanden:

• .EDB
• .STM (in Exchange 2000 Server)
• .LOG

Sluit de map met de CHK-bestanden (controlepuntbestanden) uit van controle in op afroep beschikbare en geheugenresidente viruscontroleprogramma's voor bestanden:

Opmerking Zelfs wanneer u de Exchange-databases en logboekbestanden naar nieuwe locaties verplaatst en deze mappen uitsluit, wordt het CHK-bestand mogelijk nog steeds gecontroleerd. Voor meer informatie over de consequenties van het controleren van CHK-bestanden klikt u op de volgende artikelnummers in de Microsoft Knowledge Base: Terug naar begin

MAPI-viruscontroleprogramma's

De eerste viruscontroleprogramma's waarin een Exchange-agent werd opgenomen, waren MAPI-viruscontroleprogramma's. Met deze viruscontroleprogramma's wordt op elke postbus een API-aanmelding en een controle op bekende virussen uitgevoerd.

Vergeleken met viruscontroleprogramma's voor bestanden biedt het MAPI-viruscontroleprogramma de volgende voordelen:

• Er kan worden gecontroleerd op e-mailvirussen zoals het Mellissa-virus.
• Er treden geen conflicten met de logboek- of databasebestanden van Exchange op.

Aan het gebruik van het MAPI-viruscontroleprogramma zijn de volgende nadelen verbonden:

• Geïnfecteerde e-mailberichten worden mogelijk pas gecontroleerd nadat een gebruiker het e-mailbericht opent. Gebruikers kunnen een geïnfecteerd e-mailbericht openen als het programma het virus in het e-mailbericht niet herkent.
• Uitgaande berichten worden niet gecontroleerd.
• Het SIS-filter (Single Instance Storage) van Exchange wordt niet herkend waardoor één bericht meerdere keren kan worden gecontroleerd als hetzelfde bericht is opgenomen in meerdere postvakken. Als gevolg hiervan kan een controle met het MAPI-viruscontroleprogramma veel tijd in beslag nemen.

Omdat met het MAPI-viruscontroleprogramma e-mailvirussen kunnen worden herkend, kunt u dit programma beter gebruiken dan een viruscontroleprogramma voor bestanden. Er zijn echter betere programma's beschikbaar. Deze worden hieronder beschreven.


Terug naar begin

VAPI-, AVAPI- of VSAPI-viruscontroleprogramma's

Virus Application Programming Interface, of Virus API (VAPI), wordt ook wel Antivirus API (AVAPI) of Virus Scanning API (VSAPI) genoemd.

VAPI 1.0 werd voor het eerst opgenomen in Exchange Server 5.5 Service Pack 3 (SP3) en werd gebruikt tot Exchange 2000 Server. In VAPI 1.0 zijn een groot aantal verbeteringen doorgevoerd om de prestaties met Exchange Server 5.5 te verbeteren. Klik voor meer informatie over dit onderwerp op het volgende artikelnummer in de Microsoft Knowledge Base: VAPI 2.0 werd voor het eerst opgenomen in Exchange 2000 Server Service Pack 1 (SP1). VAPI 2.0 wordt niet ondersteund in Exchange 5.5. In VAPI 1.0 en VAPI 2.0 wordt controleren op afroep ondersteund.

Wanneer u een VAPI-viruscontroleprogramma gebruikt en een client een bericht probeert te openen, wordt er een vergelijking gemaakt om er zeker van te zijn dat de berichttekst en de bijlage zijn gecontroleerd met het huidige virushandtekeningbestand. Als de inhoud niet is gecontroleerd door de huidige leverancier of met het handtekeningbestand, wordt het overeenkomende berichtonderdeel ter controle naar de leverancier van antivirussoftware verzonden voordat dit berichtonderdeel wordt vrijgegeven aan de client. De client kan een conventionele MAPI-client gebruiken of een op internetprotocollen gebaseerde client zoals Post Office Protocol 3 (POP3), Microsoft Outlook Web Access (OWA) of versie 4rev1 van Internet Message Access Protocol (IMAP4).

In VAPI 2.0 worden de gegevens uit berichtteksten en bijlagen in één wachtrij verwerkt. Items die op afroep naar deze wachtrij worden verzonden, worden met hoge prioriteit verwerkt. Deze wachtrij wordt nu onderhouden door een verzameling threads, waarbij items met hoge prioriteit altijd voorrang krijgen. Het standaardaantal threads is 2 * aantal _processors + 1. Als gevolg hiervan kunnen meerdere items tegelijkertijd naar de leverancier worden verzonden. Daarnaast zijn clientthreads voor het wachten op de vrijgave van items niet meer gebonden aan time-outwaarden. Als items zijn gecontroleerd en als veilig zijn aangemerkt, wordt aan de clientthread meegedeeld dat het item beschikbaar is. Standaard wacht de clientthread maximaal drie minuten om op de hoogte te worden gesteld van de beschikbaarheid van de gegevens voordat er een time-out optreedt.

Nieuw in VAPI 2.0 is dat berichten proactief worden gecontroleerd. In VAPI 1.0 worden de gegevens in berichtbijlagen alleen gecontroleerd als ze worden gebruikt. In VAPI 2.0 worden items in een algemene wachtrij voor het informatiearchief opgenomen wanneer ze naar het informatiearchief worden verzonden. Aan elk van deze items in de wachtrij wordt een lage prioriteit toegewezen zodat er geen conflicten optreden met controles van items met hoge prioriteit. Wanneer alle items met hoge prioriteit zijn gecontroleerd, worden de items met lage prioriteit gecontroleerd. De prioriteit van deze items wordt dynamisch verhoogd als een client het item probeert te gebruiken terwijl het zich in de wachtrij met lage prioriteit bevindt. De wachtrij met lage prioriteit kan maximaal dertig items bevatten, en items worden op volgorde van binnenkomst gecontroleerd.

De meest recente verbetering in VAPI 2.0 heeft betrekking op de functie voor achtergrondcontrole. In VAPI 1.0 bestaat een achtergrondcontrole uit één controle van de tabel met bijlagen. Bijlagen die niet door de huidige leverancier of het handtekeningbestand zijn gecontroleerd, worden direct naar de antivirus-DLL verzonden. De persoonlijke en openbare informatiearchieven ontvangen elk één thread om deze achtergrondcontrole uit te voeren. Als met de thread één controle van de tabel met bijlagen is uitgevoerd, wordt pas een volgende controle uitgevoerd wanneer het informatiearchief opnieuw wordt gestart. In VAPI 2.0 ontvangt elke MDB (Messaging Database) nog steeds één thread om de achtergrondcontrole uit te voeren. Nu wordt de achtergrondcontrole echter uitgevoerd op de mappen van de postbus van de gebruiker. Wanneer er niet-gecontroleerde items worden aangetroffen, worden deze naar de leverancier verzonden en vervolgens wordt de controle hervat. Leveranciers van antivirussoftware kunnen de start van een achtergrondcontrole ook forceren met een verzameling registersleutels.

Op veler verzoek is in VAPI 2.0 een functie opgenomen waarmee berichtgegevens kunnen worden weergegeven. Hiermee kunnen Exchange-beheerders het ontstaan van virussen achterhalen, bepalen hoe virussen de organisatie zijn binnengekomen en vaststellen welke computers door een virus zijn aangetast. Deze functie is toegevoegd aan VAPI 2.0 omdat viruscontroles niet meer rechtstreeks vanuit de tabel met bijlagen worden uitgevoerd.

Ter verbetering van de probleemoplossing van het VAPI-programma zijn in Exchange 2000 Server SP1 nieuwe prestatiemetertellers voor het VAPI-programma opgenomen waarmee Exchange-beheerders de prestaties van het API-viruscontroleprogramma kunnen bijhouden. Met deze tellers kan de beheerder bepalen hoeveel en met welke snelheid gegevens worden gecontroleerd en op basis daarvan een nauwkeurigere serverconfiguratie instellen.

De laatste nieuwe functie is de VAPI-specifieke functie voor het vastleggen van gebeurtenissen. Gebeurtenissen die nu ook worden vastgelegd zijn onder andere:

• laden en verwijderen van leveranciers-DLL's;
• controleren van items;
• virussen die zich in het informatiearchief bevinden;
• onverwacht gedrag in het VAPI-programma.

Als u wilt bepalen of u een VAPI-viruscontroleprogramma gebruikt, controleert u het systeem op de volgende registersleutel: Deze registersleutel bestaat alleen als er een VAPI-viruscontroleprogramma is geïnstalleerd.

Hieronder ziet u een voorbeeld van een gebeurtenis die kan worden vastgelegd als het programma VSAPI de bestanden scant via het pad //./backofficestorage/:

Event ID: 2045 Source: McAfee GroupShield The description for Event ID ( 2045 ) in Source ( McAfee GroupShield ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer.
On-Demand 4 Hours Cycle scanner failed to scan the item 'bestand://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 E-mailonderwerp.EML' with error 80040e19.

Voor meer informatie over de problemen die kunnen optreden als u station M controleert, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base: Terug naar begin

ESE-viruscontroleprogramma's

In ESE-viruscontroleprogramma's, zoals bepaalde versies van Antigen, wordt gebruikgemaakt van een interface tussen het informatiearchief en ESE (Extensible Storage Engine) dat door Microsoft wordt ondersteund. Wanneer u dit type software gebruikt, kunnen databases worden beschadigd en gegevens verloren gaan als er fouten optreden tijdens het implementatieproces.


Tijdens de installatie van het ESE-viruscontroleprogramma wordt de service Information Store van Exchange Server gewijzigd, zodat deze afhankelijk wordt van de specifieke service. Zo wordt ervoor gezorgd dat de service eerder wordt gestart dan de service Information Store van Exchange Server. Tijdens het opstartproces controleert de service van het viruscontroleprogramma het systeem op geschikte versies van de software en Exchange Server en op geschikte bestandsversies. Als er een incompatibiliteit wordt aangetroffen, schakelt de Antigen-software zichzelf uit, wordt het informatiearchief zonder virusbeveiliging gestart en worden beheerders hiervan op de hoogte gesteld.


Wanneer het ESE-viruscontroleprogramma zonder problemen wordt gestart, wordt de naam van de Microsoft-versie van het bestand Ese.dll tijdelijk gewijzigd in Xese.dll en wordt het oorspronkelijke Ese.dll-bestand vervangen door de Antigen-versie. Nadat de Antigen-versie van het bestand Ese.dll is geladen, wordt de oorspronkelijke naam van de Microsoft-versie hersteld en wordt het informatiearchief van Exchange Server ingeschakeld om de opstartprocedure te voltooien.


Klanten die contact opnemen met Microsoft Product Support Services, wordt mogelijk verzocht de Antigen-service uit te schakelen om de oorzaak van het probleem te achterhalen. Als de hoofdoorzaak van het probleem is vastgesteld, kunnen klanten de Antigen-software desgewenst weer inschakelen. Terug naar begin

Aanvullende informatie

Voor meer informatie over de viruscontrolesoftware die met Exchange Server wordt gebruikt, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base: Voor meer informatie over virus- en beveiligingswaarschuwingen, en leveranciers van virusbeveiligingssoftware gebruikt u de volgende bronnen:

Microsoft

ICSA

ICSA, een aan GartnerGroup gelieerde organisatie, biedt services voor het controleren van internetbeveiligingen.

CERT Coordination Center

CERT Coordination Center maakt deel uit van het Survivable Systems Initiative van het Software Engineering Institute, een door de federale overheid gefinancierd onderzoeks- en ontwikkelingscentrum dat wordt gesponsord door het ministerie van defensie van de Verenigde Staten en is gelieerd aan Carnegie Mellon University.

Computer Incident Advisory Capability

Computer Incident Advisory Capability biedt op technisch gebied telefonische ondersteuning en informatie aan DOE-vestigingen (Department of Energy) die problemen met de computerbeveiliging ondervinden.

Network Associates

Trend Micro

Computer Associates

Norton AntiVirus (Symantec)

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.
De niet-Microsoft-producten die in dit artikel worden vermeld, worden vervaardigd door fabrikanten die geheel onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten. Terug naar begin