Antivirus de archivos y Microsoft Exchange 5.5, 2000 o 2003, ¿amigos o enemigos?

Por Daniel Seveso

 

Mucho se ha dicho y escrito sobre programas antivirus para archivos instalados en servidores de Exchange. Sin embargo, los errores en la configuración de los mismos, sigue siendo causa de muchos problemas. Es recomendado que su servidor de Exchange esté protegido con un antivirus de archivos, igualmente, su correcta configuración es esencial para no afectar el funcionamiento de Exchange.

 

Los comentarios aquí descritos, aplican solamente a los antivirus del sistema de archivos NTFS. No aplica para antivirus de Exchange (que trabajan sobre la base de datos y/o el motor de transporte) ni para productos anti-spam.

 

En una visión muy simplificada, los antivirus del sistema de archivos solo entienden o conocen archivos, y están diseñados para protegernos de código malicioso, que vienen habitualmente en forma de archivos independientes, o código embebido en archivos que hace posible su propia propagación. Estos antivirus buscan en nuestros archivos, por secuencias de código que identifican cada virus. El fabricante de antivirus provee y actualiza el archivo de firmas (signature file) con la definición de cada nuevo virus conocido para que puedan ser identificados.

 

 

¿Cual es el riesgo entonces  en escanear archivos de Exchange?

 

Las bases de datos de Exchange (*.edb, *.stm, *.dat, *.chk, *.log) son archivos actualizados por diferentes procesos en Exchange. En forma casual, es posible encontrar en estos archivos, las secuencias de código que definen un virus, y que en consecuencia, nuestro antivirus intente ponerlo en cuarentena, borrarlo, o lo que sería peor repararlo, causando corrupción en los datos asociados a ese archivo.

 

 

¿Cuales son los directorios que debo excluir?

Los siguientes directorios y subdirectorios deben estar excluidos en el programa de Antivirus:

 

Exchange 5.5:

 

Componente

Ubicación por omisión

Archivos de logs y bases de datos de Exchange

\Exchsrvr\mdbdata

Archivos del MTA de Exchange

\Exchsrvr\Mtadata

Archivos del seguimiento de mensajes de Exchange (tracking log)

\Exchsrvr\tracking.log

Archivos del Internet Mail Connector

\Exchsrvr\IMCData

Directorio temporal utilizado para la ejecución de ESEUTIL.EXE fuera de línea.

Por omisión, este directorio es donde ejecutamos la aplicación, o donde se especifique explícitamente en la línea de comandos.

 

Exchange 2000/2003:

 

Componente

Ubicación por omisión

Archivos de logs y bases de datos de Exchange

\Exchsrvr\mdbdata

Archivos del MTA de Exchange

\Exchsrvr\Mtadata

Archivos del seguimiento de mensajes de Exchange (tracking log)

\Exchsrvr\ Server_Name .log

Directorios del SMTP Virtual server

\Exchsrvr\Mailroot

Archivos del Site Replication Service (SRS)

\Exchsrvr\Srsdata

Archivos del sistema de Internet Information Service (IIS)

\%SystemRoot%\System32\Inetsrv

Directorio de trabajo usado como almacenamiento temporal para conversión de mensajes. (puede consultar “System path location:” en la pestaña “General” de las propiedades de sus Storage Groups)

\Exchsrvr\MDBData

Directorio temporal utilizado para la ejecución de ESEUTIL.EXE fuera de línea.

Por omisión, este directorio es donde ejecutamos la aplicación, o donde se especifique explícitamente en la línea de comandos.

Disco M: correspondiente a Installable File System (IFS). Este disco representa la base de datos de Exchange en un formato de archivos.

M:\

(El mapeo de la unidad M:\ puede ser deshabilitado en Exchange 2000 y está deshabilitado por default en Exchange 2003)

 

 

 

Recomendaciones

ü      Esta configuración debe efectuarse en forma manual, ya que los antivirus no excluyen directorios de Exchange en forma automática.

ü      Si su programa de antivirus provee una consola centralizada, o políticas centralizadas, asegúrese de que las exclusiones sean definidas de forma que apliquen a todos los servidores de Exchange de su organización.

ü      Configure el antivirus para que guarde los archivos infectados en el directorio de cuarentena. Esto permitirá revisarlos antes de ser borrados y posiblemente le evitará restaurar de un respaldo.

ü      Si le interesa escanear los mensajes contenidos en la base de datos de Exchange o los que transitan por el motor de transporte, necesitará un antivirus específico para esta tarea. Exchange provee mecanismos (APIs) para que los antivirus de Exchange puedan escanear el contenido de la base su base de datos.

ü      Deshabilite temporalmente su antivirus de archivos, cuando realice una actualización de Exchange (Service packs, Hotfixes, Upgrades, etc.) o del sistema operativo.

 

 

Referencias

245822     Recommendations for troubleshooting an Exchange Server computer with antivirus software installed

http://support.microsoft.com/default.aspx?scid=kb;EN-US;245822

129972     Computer viruses: description, prevention, and recovery

http://support.microsoft.com/default.aspx?scid=kb;EN-US;129972

328841     Exchange and antivirus software

http://support.microsoft.com/default.aspx?scid=kb;EN-US;328841