McAfee

Der Hersteller McAfee ist sicher kein unbekannter im Bereich Virenschutz und seine Lösung für Exchange (Groupshield) finde ich immer wieder auf vielen Systemen. Auf dieser Seite versuche ich die "Probleme" festzuhalten, die ich bei Kunden mit Groupshield hatte.

Da bedeutet nicht, dass diese Probleme in der aktuellen Version immer noch vorhanden sind und soll auch nicht als Abwertung des Produkts missverstanden werden. Auch andere Produkte sind nicht fehlerfrei und besonders im Bereich Exchange ActiveSync  stören immer wieder Virenscanner die Funktion. Ein Exchange Server sollte aus meiner Sicht immer einen Virenscanner auf dem Dateisystem (Ausschluss der Exchange Datenbanken) und einen Scanner für das Mailsystem haben.

Groupshield und Exchange 2007 CCR-Cluster

Bei CCR-Cluster zeichnet sich dadurch aus, dass der aktive Knoten den Information Store betreibt, während auf dem passiven Knoten der Dienst beendet ist. Nach einer Installation von Groupshield ist aber der Groupshield-Dienst auf "automatisch" gestellt und über eine Abhängigkeit startet er auch den MSExchangeIS automatisch mit. Das scheint kein Problem zu sein, weil damit die Datenbanken ja noch nicht "online" sind. Aber bei späteren Updates o.ä., könnten Probleme vorprogrammiert sein.

Ich würde hier entweder die Abhängigkeit vom MSExchangeIS bei Groupshield entfernen oder den Groupshield Dienst auf "manuell" setzen und als generische Clusterressource mit einbinden.

Mindestens einmal ist es mir passiert, dass beim geplanten Failover der MSExchangeIS nicht beendet wurde (Groupshield ?) und damit der vormals passive Knoten das letzte Transaktionsprotokoll jeder Speichergruppe nicht kopieren konnte. Die Mailboxdatenbanken haben also einen "Lossy Failover" durchgeführt während die Public Folder Datenbank nicht gestartet wurde. Erst als der STORE.EXE auf dem nun passiven Knoten beendet wurde, konnte der aktive Knoten auch das Transaktionsprotokoll des öffentlichen Informationsspeichers kopieren und starten.

VShield 8.0 und SMTP

Ende September 2004 hat McAfee seine Desktop und Server Virenscanner auf die Version 8.0 aktualisiert. Um der Vielzahl an neuen Viren, Würmern und Trojanern Herr zu werden, werden auch die Antivirensoftwarehersteller immer umfangreicher in ihrer Schutzpalette. Seit Version 8.0 liefert McAfee nun auch eine Firewallfunktion mit, um bestimmte TCP/IP-Verbindungen zu steuern oder zu unterbinden. Diese Funktion kann in ihrem Netzwerk ohne entsprechende Konfiguration zu Störungen führen, denn:

  • McAfee 8.0 liefert eine eigene Firewallfunktion mit
  • diese Funktion sperrt per Default bestimmte ausgehende Ports
  • Ausgehend Port 25 ist per DEFAULT gesperrt !

Diese an sich gute Verfahren, um die Verbreitung von Würmern und anderem zu verhindern ist auf Workstations natürlich erwünscht, die keine SMTP-Verbindung aufbauen sollen, sondern mit Outlook und RPC arbeiten. Aber auf Servern sicher nicht sinnvoll. Betroffen sind aber auch andere Systeme, die wissentlich und erwünschter maßen eine Mail per SMTP senden sollen (z.B. Skripte mit BLAT; Diverse Monitoring-Software wie Hostmon, WhatsUp etc., oder CGI-Skripte auf Webservern etc.)

Hier sehen Sie die entsprechenden Konfigurationseinstellungen von McAfee:

Zudem behindert McAfee auch einige Programme bei der Ausführung von Dateien aus TEMP und anderen "geschützten" Verzeichnissen.

Zuletzt überwacht McAfee auch Pufferüberläufe und erweitert die "Virenerkennung" auf Dialer, Trojaner, Scherzprogramme aber auch auf Kennwort-Cracker und Fernsteuerungstools. Gerade unerkannte Fernsteuerungstools sind für Privatsysteme eine Gefahr. Aber in Firmen eine gängige SupportUnterstützung und für Server meist als Standard installiert.

Es ist zu erwarten, dass nach Microsoft mit Windows Service Pack 2 und nun McAfee auch andere Softwarehersteller ihre Produkte mit immer mehr Funktionen zum Schutz des PCs ausrüsten. Gerade Firmen müssen aber darauf achten, dass der Schutz angemessen ist und die Standardeinstellungen für Einzelplatzsysteme daheim für Firmen fast immer angepasst werden müssen.

GroupShield und XML-Dateien

Speziell wenn Sie einen "RealtimeScan" einsetzen und bestimmte Anlagen blockieren wollen, sollten Sie genau die Abhängigkeiten prüfen. Dies ist aber keine Besonderheit von GroupShield sondern betrifft durch aus alle Scanner. Ab Beispiel von GroupShield zeigt, welcher Schaden entstehen kann, wenn z.B. XML-Dateien geblockt werden sollen, sieht man hier:

Exchange legt selbst diverse Informationen in der SystemMailbox als XML-Datei ab. Eine Blockade von XML-Dateien kann daher fürchterlich nach hinten los gehen. Achten Sie daher genau, was sie filtern, solange Produkte nicht selbst Systempostfächern gesondert behandeln.

Weitere Links

  • 908864 Incoming mail flow stops, or the SMTP service fails when you try to fail over a node in Exchange Server 2003 or in Exchange 2000 Server after you install McAfee VirusScan Enterprise