Antivirus de archivos y Microsoft Exchange 5.5, 2000 o 2003, ¿amigos o enemigos?
Antivirus de archivos y Microsoft Exchange 5.5, 2000 o 2003, ¿amigos o enemigos?
Por Daniel Seveso
Mucho se ha dicho y escrito sobre programas antivirus para archivos instalados en servidores de Exchange. Sin embargo, los errores en la configuración de los mismos, sigue siendo causa de muchos problemas. Es recomendado que su servidor de Exchange esté protegido con un antivirus de archivos, igualmente, su correcta configuración es esencial para no afectar el funcionamiento de Exchange.
Los comentarios aquí descritos, aplican solamente a los antivirus del sistema de archivos NTFS. No aplica para antivirus de Exchange (que trabajan sobre la base de datos y/o el motor de transporte) ni para productos anti-spam.
En una visión muy simplificada, los antivirus del sistema de archivos solo entienden o conocen archivos, y están diseñados para protegernos de código malicioso, que vienen habitualmente en forma de archivos independientes, o código embebido en archivos que hace posible su propia propagación. Estos antivirus buscan en nuestros archivos, por secuencias de código que identifican cada virus. El fabricante de antivirus provee y actualiza el archivo de firmas (signature file) con la definición de cada nuevo virus conocido para que puedan ser identificados.
¿Cual es el riesgo entonces en escanear archivos de Exchange?
Las bases de datos de Exchange (*.edb, *.stm, *.dat, *.chk, *.log) son archivos actualizados por diferentes procesos en Exchange. En forma casual, es posible encontrar en estos archivos, las secuencias de código que definen un virus, y que en consecuencia, nuestro antivirus intente ponerlo en cuarentena, borrarlo, o lo que sería peor repararlo, causando corrupción en los datos asociados a ese archivo.
¿Cuales son los directorios que debo excluir?
Los siguientes directorios y subdirectorios deben estar excluidos en el programa de Antivirus:
Exchange 5.5:
Componente |
Ubicación por omisión |
Archivos de logs y bases de datos de Exchange |
\Exchsrvr\mdbdata |
Archivos del MTA de Exchange |
\Exchsrvr\Mtadata |
Archivos del seguimiento de mensajes de Exchange (tracking log) |
\Exchsrvr\tracking.log |
Archivos del Internet Mail Connector |
\Exchsrvr\IMCData |
Directorio temporal utilizado para la ejecución de ESEUTIL.EXE fuera de línea. |
Por omisión, este directorio es donde ejecutamos la aplicación, o donde se especifique explícitamente en la línea de comandos. |
Exchange 2000/2003:
Componente |
Ubicación por omisión |
Archivos de logs y bases de datos de Exchange |
\Exchsrvr\mdbdata |
Archivos del MTA de Exchange |
\Exchsrvr\Mtadata |
Archivos del seguimiento de mensajes de Exchange (tracking log) |
\Exchsrvr\ Server_Name .log |
Directorios del SMTP Virtual server |
\Exchsrvr\Mailroot |
Archivos del Site Replication Service (SRS) |
\Exchsrvr\Srsdata |
Archivos del sistema de Internet Information Service (IIS) |
\%SystemRoot%\System32\Inetsrv |
Directorio de trabajo usado como almacenamiento temporal para conversión de mensajes. (puede consultar “System path location:” en la pestaña “General” de las propiedades de sus Storage Groups) |
\Exchsrvr\MDBData |
Directorio temporal utilizado para la ejecución de ESEUTIL.EXE fuera de línea. |
Por omisión, este directorio es donde ejecutamos la aplicación, o donde se especifique explícitamente en la línea de comandos. |
Disco M: correspondiente a Installable File System (IFS). Este disco representa la base de datos de Exchange en un formato de archivos. |
M:\ (El mapeo de la unidad M:\ puede ser deshabilitado en Exchange 2000 y está deshabilitado por default en Exchange 2003) |
Recomendaciones
ü Esta configuración debe efectuarse en forma manual, ya que los antivirus no excluyen directorios de Exchange en forma automática.
ü Si su programa de antivirus provee una consola centralizada, o políticas centralizadas, asegúrese de que las exclusiones sean definidas de forma que apliquen a todos los servidores de Exchange de su organización.
ü Configure el antivirus para que guarde los archivos infectados en el directorio de cuarentena. Esto permitirá revisarlos antes de ser borrados y posiblemente le evitará restaurar de un respaldo.
ü Si le interesa escanear los mensajes contenidos en la base de datos de Exchange o los que transitan por el motor de transporte, necesitará un antivirus específico para esta tarea. Exchange provee mecanismos (APIs) para que los antivirus de Exchange puedan escanear el contenido de la base su base de datos.
ü Deshabilite temporalmente su antivirus de archivos, cuando realice una actualización de Exchange (Service packs, Hotfixes, Upgrades, etc.) o del sistema operativo.
Referencias
245822 Recommendations for troubleshooting an Exchange Server computer with antivirus software installed
https://support.microsoft.com/default.aspx?scid=kb;EN-US;245822
129972 Computer viruses: description, prevention, and recovery
https://support.microsoft.com/default.aspx?scid=kb;EN-US;129972
328841 Exchange and antivirus software
https://support.microsoft.com/default.aspx?scid=kb;EN-US;328841