Op verschillende plaatsen heb ik meldingen gelezen over bedrijven die last hebben van eventid 9874:
Event Type: Warning
Event Source: MSExchangeIS
Event Category: Virus Scanning
Event ID: 9874
Date:  3/17/2008
Time:  12:23:57 PM
User:  N/A
Computer: <servername>
Description:
Unexpected error 0x50a occurred in "EcProcessVirusScanQueueItem" during virus scanning.
Mailbox Database: /o=<orgname>/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=<servername>/cn=Microsoft Private MDB
Folder ID: 1-24
Message ID: 1-D616AA3D

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

 More...

Dit event heeft te maken met dat Forefront bepaalde instellingen in het register niet goed kan verwerken. In mijn geval had het te maken met Background scanning opties die niet aanwezig waren in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\VirusScan].

Dit is de juiste inhoud van de key voor een server met alleen de mailboxrole (De ontbrekende DWORDS zijn vet gedrukt):

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\VirusScan]
"Library"="C:\\Program Files (x86)\\Microsoft Forefront Security\\Exchange Server\\FSEVsapiEx.dll"
"BackgroundScanning"=dword:00000000
"ProactiveScanning"=dword:00000000
"ScanRTF"=dword:00000001
"ScanTimeout"=dword:00000258
"EnableScanDeletion"=dword:00000001
"OnAccessScanningRollingLowerAgeLimit"=dword:00360d80
"ReloadNow"=dword:00000000
"Enabled"=dword:00000001
"OnAccessThresholdVersion"=dword:00000001
"BackgroundScanningIgnoreStamp"=dword:00000001
"BackgroundScanningOnlyUnscanned"=dword:00000001
"BackgroundScanningAttachmentMessagesOnly"=dword:00000001

Dit kwam omdat de Background scanning job een keer gedraaid moet hebben om deze key op de juiste manier te vullen. Dit doe je door in Forefront het schedule voor de background scanning job aan te passen dat de job in ieder geval 1 keer draait.

Microsofts best practice is om deze job wekelijks te draaien en dan alleen unscanned berichten te scannen, ontvangen in de laatste week, met attachment.