Viren, Spam, Werbung und Müll

Seite 3/4

ESE.DLL - Shim, oder der Sybari Weg

Die Firma Sybari wurde mittlerweile von Microsoft gekauft und das Produkt Forefront nutzt nicht mehr diesen Weg.

Die Firma Sybari hat einen weiteren Weg entwickelt, Exchange Daten zu scannen, ohne die Lücken und Belastung von MAPI, in dem sie die Schnittstelle der ESE.DLL quasi auseinander genommen haben (reverse engineering ?) und nun ihre eigene DLL davor schalten. Die Exchange Dienste (MTA, IMC etc.) nutzen einfach die Aufrufe der ESE-Schnittstelle, bemerken aber nicht, dass sich die Engine von Sybari dazwischen geschaltet hat und die Anfragen annimmt und selbst nun die Anfrage an die originale ESE-Engine weitergibt. Dabei kann die Routine die Daten abfangen und an beliebige Scanner einbinden.

Problem dieser Option ist die enge Verzahnung mit der ESE-Engine und die Problematik mit Updates, Servicepacks und Hotfix. Sybari prüft die Version der ESE-Enginge und verweigert die Mitarbeit, wenn die Version der DLLs nicht mit der Freigabeliste von Sybari übereinstimmt. Exchange wird dadurch zwar nicht gestört, aber der Virenscanner ist dann nicht mehr funktionstüchtig bis zu einem Update. Aber Sybari kann alternativ auch AVAPI/VSAPI bedienen. Nur sollten Sie dies wissen, ehe sie ein Exchange Service Pack oder Hotefix einspielen.

  • Q250500 XADM: understanding How Sybari Antigen Software Interacts with Exchange Server

Workstation Scanner

Spätestens wenn der Benutzer eine Mail liest, wird Sie von Outlook aus Exchange geladen und landet im TEMP Verzeichnis auf der Festplatte. Sobald der Anwender eine Anlage speichert oder ein bestimmtes virulentes Verhalten auf dem PC durch den Virenscanner festgestellt wird, hat der Scanner die Aufgabe dieses zu unterbinden. Dies funktioniert auch wunderbar mit gepackten Anlagen (auch mit Kennwort) und verschlüsselten Nachrichten. Damit ist der Scanner auf der Workstation die letzte Bastion, ehe ein Virus aktiv werden kann und ist damit eine Pflichtkomponenten.

Leider ist ein Scanner auf dem Arbeitsplatz keine zentrale Lösung mehr und bedeutet für den Administrator eine große Aufgabe, die Komponenten immer aktuell zu halten und natürlich auch eine Rückmeldung über Aktivitäten zu erhalten. Besonders bei Notebooks mit temporärer Netzwerkanbindung muss der Scanner hier ausreichend pfiffig sein, ein Update zu verzögern und Benachrichtigungen zu speichern. Dank Suspend-Funktionen aktueller Systeme ist auch ein Anmeldeskript nicht mehr zuverlässig genug. Andere Techniken z.B. HTTP etc. sind hier gefragt.

PST oder OST-Dateien kann so eine Scanner natürlich nicht erwischen, da die Nachrichten dort nicht als Datei sondern als Datenbankseiten abgelegt werden. Aber natürlich kann ein Virenscanner einen Fehlalarm auslösen, wenn ein Bitmuster als "auffällig" deklariert wird. Der Virenscanner verhindert den Zugriff und die PST oder OST-Datei ist dann in der Regel hinüber. Daher gehört *.OST und *.PST auf die Ausschlußliste oder Sie verzichten auf PST-Dateien auf dem lokalen Server.

Einer unserer Kunden hatte eine Testversion von OfficeScan im Einsatz und wollte eigentlich "nur" einige Systeme testen. Allerdings hatte OfficeScan danach den Ruf eines Virus weg, denn am nächsten morgen, waren alle PCs im unternehmen schon mit dem Scanner versorgt. Aufgrund er Erfolgsrate bei Installation, Updates und Erkennung war die Lizenzierung schnell beschlossene Sache. 

Serverscanner

So wie es Scanner für die Arbeitsplatzsysteme gibt, können Sie auch einen Scanner auf dem Exchange Server für das Dateisystem einsetzen. Dieser wird sicherlich problemlos ihren Scanner virenfrei halten, aber an die Exchange Datenbank kommt er nicht heran. Er sollte auch gar nicht erst versuchen, diese Datenbank oder die Protokolldateien oder irgendeine andere Datei von Exchange scannen oder gar den Zugriff zu verbieten. Es kostet nur Zeit, Performance und birgt das Risiko, ihren Server schlagartig unbrauchbar zu machen. Eine so korrumpierte Datenbank ist meist gar nicht mehr zu reparieren. Restore und Roll forward der Protokolldateien ist der einzige richtige Weg, wenn ihr Backup korrekt funktioniert. Also alle Dateien und Verzeichnisse von Exchange ausschließen.

Bei Updates empfehle ich, den Virenscanner temporär zu deaktivieren. ServerProtect hat auf meinem Server bisher noch keine Probleme gemacht.

  • Q305145 XADM: Hiding the IFS Mapping from Windows Explorer
    Dann finden dateibasierte Virenscanner nicht das Laufwerk M:

Überlastungsmonitore

Und was machen wir gegen Mailstürme und dinge, die der Scanner noch nicht erkennt ?. Nicht immer vergehen mehrere Tage, bis das Schadelement erst bei ihnen eintrifft und der Virenscanner schon das notwendige Update hat.

Hier kann man sich trotzdem etwas behelfen. Schauen Sie sich ihren Exchange Server einige Tage mit dem Performancemonitor an. Sie werden schnell Mittelwerte und Spitzenwerte für ihre Nachrichtenaufkommen finden. Gute Kennzahlen sind hierbei Bytes/Min und Nachrichten/Min beim SMTP Konnektor, Länge der Sendewarteschlange oder die Anzahl der weitergeleiteten Nachrichten beim MTA. Diese Werte haben für Ihren Einsatzbereich sinnvolle Obergrenzen. Also starten Sie einfach einen Performancemonitor, welcher im Minutentakt diese Werte gegen einen Maximalwert prüft. Wird der Wert überschritten, dann kann der Performance Monitor ein beliebiges Skript ausführen. Hier könnten Sie z.B. den Administrator alarmieren oder aktiv den Internetdienst beenden.

Hilfreich ist auch mit einer passenden Firewall die Beschränkung der Bandbreite für SMTP. Dies ist immer Sinnvoll, um genug Platz für interaktive Verkehre (Websurfen, Zugriff auf die Webseite, OWA etc.) zu sichern. Ebenso gibt es schon intelligentere SMTP Scanner, die ein bestimmtes "Verhalten" als Virus deuten, z.B.: viele Mails mit gleichem Anhand oder gleiche Nachrichten an viele Empfänger.