Einführung in Exchange

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2011-04-12

In Microsoft® Exchange können Viren über Dateianlagen oder den Nachrichtentext von E-Mails sowie über Beiträge in öffentlichen Ordnern in eine Umgebung gelangen. Mit herkömmlicher Antivirustechnologie kann der Inhalt der Exchange-Datenbank oder des Exchange-Transportstapels jedoch nicht überwacht oder gescannt werden. Exchange-Umgebungen benötigen daher eine Antiviruslösung, welche die Ausbreitung von Viren verhindert, indem sämtliche Nachrichten in Echtzeit gescannt werden, ohne dass dies die Serverleistung oder die Lieferzeiten von Nachrichten beeinträchtigt. Microsoft Forefront Security™ für Exchange Server (FSE) bietet die Lösung zum Schutz von Exchange-Umgebungen.

Forefront Security für Exchange Server ist hervorragend geeignet für Exchange Server 2007-Umgebungen. Über die Exchange-VSAPI (Virus Scanning Application Programming Interface) kann es nahtlos mit den Exchange-Servern verbunden werden und bietet so umfassenden Schutz.

Zu den leistungsstarken Features von Forefront Security für Exchange Server gehören unter anderem:

  1. Antivirusscanning mit mehreren Antivirusscanmodulen.

  2. Verteilter Schutz auf allen Exchange-Serverrollen für Speicherung und Transport, einschließlich Edge, Hub und Postfach/Öffentliche Ordner.

  3. Filter zur Dateisuche nach Dateiname, Dateierweiterung oder Dateigröße.

  4. Umfangreiche Benachrichtigungen für den Administrator und den Sender sowie Empfänger der Nachricht.

Mit Forefront Security für Exchange Server ist kompletter Schutz für Ihre Messagingserver möglich, und es ist die ideale Antiviruslösung für Exchange 2007-Umgebungen.

Vorteile beim Einsatz mehrerer Scanmodule

Auch wenn Antivirusanbieter immer bemüht sind, Signaturen so schnell wie möglich zu veröffentlichen, zeigt es sich doch bei jeder neuen Virusbedrohung, dass die einzelnen Antivirus-Entwicklerlabors meist unterschiedlich lange brauchen, um Virusbeispiele zu erhalten, sie zu analysieren und Signaturen zu veröffentlichen. Durch die Verwendung mehrerer Antivirusscanmodule genießen Forefront Security Server-Kunden den Vorteil vielfältiger Lösungsansätze. Wenn alle Nachrichten mit fünf Modulen gescannt werden, ist die Wahrscheinlichkeit größer, dass eines der Module in der Lage ist, einen neuen Virus zu erkennen und unschädlich zu machen.

Forefront Security Server bietet Konfigurationseinstellungen, die es Kunden ermöglichen, ein ausgewogenes Gleichgewicht zwischen Leistung und relativem Sicherheitsgrad zu erzielen. Es können bis zu fünf Module ausgewählt werden, und mit einer Abweichsungseinstellung kann ausgewählt werden, ob jede Nachricht von allen Modulen oder nur von einem Teilsatz der ausgewählten Module gescannt wird. Die empfohlene Abweichungseinstellung für erhöhten Schutz ist Sicherheit bevorzugen. Bei dieser Einstellung verwendet Forefront Security Server für den Scanvorgang alle verfügbaren Module, die ausgewählt wurden. (Bei Sicherheit bevorzugen kann ein Modul unter Umständen umgangen werden, wenn es zeitweilig nicht verfügbar ist, z. B. weil das Modul neu geladen wird, um seine Signaturen zu aktualisieren.)

  • Antivirusscans bei Edgetransport- oder Hubtransportservern erfolgen durch einen Forefront-Antivirus-Agent. Dabei handelt es sich um einen E12-Transport-Agent, der in der Datei Edge Transport.exe registriert ist und durch diesen Vorgang geladen wird.

  • Antivirusscans auf dem Postfachserver für eine Echtzeit- und Hintergrundverarbeitung erfolgen durch eine E12-kompatible Forefront-VSAPI.dll, die vom Exchange-Speicher geladen wird.

  • Der eigentliche Antivirusscan von Nachrichten wird durch getrennte Forefront-Echtzeit- und -Transportvorgänge ausgeführt, die eine Nachrichtenscanisolierung von den Exchange-Transport- und -Speichervorgängen bereitstellen.

Forefront Security für Exchange Server ermöglicht die Unterstützung der Serverrollen Exchange-Edgetransport, Hubtransport und Postfach/Öffentliche Ordner. Durch Verteilen des Scanauftrags auf die verschiedenen Exchange-Server wird die Belastung einzelner Server reduziert und ein doppeltes Scannen ausgeschlossen.

Forefront Security für Exchange verwendet eine neue Scanlogik, die sicherstellt, dass bereits gescannte E-Mails nicht erneut geprüft werden. Standardmäßig werden E-Mails, die beim Edgetransport oder Hubtransport gescannt wurden, nicht erneut gescannt, wenn sie weitergeleitet oder in Postfächern abgelegt werden. Diese Herangehensweise minimiert die Zahl notwendiger Antivirusscanvorgänge und maximiert so die Leistung des E-Mail-Systems. Weitere Vorteile sind:

  • Eindeutige Reduktion der Scanbelastung für den Informationsspeicher.

  • Deaktivierbare Einstellung, um Scanvorgänge an allen Punkten zu ermöglichen.

Jede E-Mail erhält beim ersten Scannen im Edge- oder Hubserver einen sicheren Antivirusheaderstempel, um bereits gescannte E-Mails zu identifizieren. Spätere Scanvorgänge (Hub oder Speicher) prüfen die E-Mail auf diesen Stempel. Ist er vorhanden, wird die Nachricht nicht erneut gescannt. Wenn die Nachricht an den Speicher gesendet wird, werden die Antivirusstempeleigenschaften einer MAPI-Eigenschaft hinzugefügt und verwaltet.

Für alle Exchange-Server sollten dieselben Konfigurationseinstellungen verwendet werden, um diese Funktionalität des "einmaligen Scannens" optimal auszunutzen. So kann sichergestellt werden, dass der Scanvorgang an verschiedenen verteilten Punkten in der Exchange-Organisation immer gleich abläuft.

Es gibt verschiedene Scanszenarios:

Scannen von eingehender E-Mail

E-Mail-Nachrichten werden auf dem Edgeserver gescannt. Am Hub oder beim ersten Speichern auf den Postfachservern wird die E-Mail nicht noch einmal gescannt. Sobald sich die Nachrichten jedoch im Postfachserver befinden, kann der Server so konfiguriert werden, dass der Inhalt von Zeit zu Zeit vollständig oder teilweise neu gescannt wird, wenn neuere Signaturen vorhanden sind.

Scannen von ausgehender E-Mail

Standardmäßig wird ausgehende E-Mail nicht auf dem Postfachserver, sondern auf dem Hubserver gescannt. Wenn die Postfach- und Hubserverrolle von demselben Computer bereitgestellt wird, wird die E-Mail von der Hubtransportrolle gescannt. Wenn es in der Exchange-Organisation einen Edgeserver gibt, wird die E-Mail auf dem Edgeserver nicht noch einmal gescannt.

Scannen von interner E-Mail

E-Mails werden auf dem Hubserver beim internen Routing gescannt. Standardmäßig wird die E-Mail nicht auf dem ursprünglichen Postfachserver gescannt oder auf dem Ziel-Postfachserver neu gescannt.

In all diesen Szenarios wird Verarbeitungszeit und Belastung auf den Postfachservern verringert.

Der Antivirusstempel

Drei Bedingungen müssen erfüllt sein, bevor der Antivirus-Transport-Agent einer Nachricht einen Antivirusstempel gibt:

  • Die Nachricht muss von mindestens einem Virusmodul gescannt worden sein.

  • Es wurde kein Virus gefunden, oder ein gefundener Virus wurde bereinigt oder gelöscht.

  • Wenn die Nachricht aktualisiert wurde, muss Forefront die aktualisierte Nachricht erfolgreich zurück zu Exchange schreiben.

Wenn Forefront auf den Modus Überspringen: nur erkennen zum Virenscan festgelegt wurde, wird kein Stempel geschrieben, wenn ein Virus gefunden wurde. Dies erfolgt nur nach einem durchgeführten Antivirusscan. Wenn nur Filtern nach Dateien aktiviert ist, wird der Stempel nicht geschrieben.

Postfachscans

Speicherscans werden durchgeführt von:

  • Echtzeitscanaufträge und Hintergrundscans

  • Manuelle Scanaufträge

Proaktive Scans (Scans von Nachrichten und Dateien, wenn diese in den Speicher geschrieben werden) sind standardmäßig deaktiviert.

Nachrichten, die einen Postfachserver erreichen, tragen standardmäßig einen Transportstempel und werden durch die Echtzeitscanvorgänge nicht noch einmal gescannt. Der Transporthub, von dem diese Nachrichten gescannt wurden, befindet sich entweder auf einem anderen Server oder auf demselben Server wie der Postfachserver. Inhalte, die noch nicht über einen Transporthub weitergeleitet wurden, verfügen nicht über einen Antivirusstempel und werden gescannt, wenn sie das erste Mal per Scan bei Zugriff vom Speicher abgerufen werden.

Scans bei Zugriff werden standardmäßig nur dann zum Scannen einer Nachricht verwendet, wenn diese noch nicht gescannt wurde. Der Zugriff umfasst das Öffnen einer Nachricht, ihre Ansicht im Vorschaufenster und Inhaltsindexvorgänge. Die meisten Abrufaufträge haben keine Auswirkung auf den Speicher, da Nachrichten bei der Übertragung gescannt wurden. Ein Scan bei Zugriff bietet Schutz für Nachrichten im Ordner für gesendete Elemente, dem Postausgang und in öffentlichen Ordnern.

Optional können im Postfachserver auch Einstellungen für eine Hochsicherheitskonfiguration aktiviert werden. Damit kann eine Nachricht beim Zugriff gescannt werden, wenn seit dem letzten Scan der Nachricht neue Signaturen eingegangen sind. (Siehe auch die Option Bei Scanner-Update scannen unter Allgemeine Optionen im Bereich EINSTELLUNGEN.) Diese Hochsicherheitseinstellungen sollten nur im Falle einer ernsthaften Bedrohung verwendet werden, wenn ein kontinuierliches Neuscannen von Nachrichten erforderlich ist, um Benutzer vor einer bekannten Bedrohung zu schützen, die diesen Sicherheitsgrad notwendig macht.

Bitte beachten Sie, dass Scans bei Zugriff nur einen begrenzten Schutz bieten. Wenn die E-Mail bereits in einen Clientcache von Outlook 2003 oder Outlook 2007 heruntergeladen wurde (sofern der Outlook-Cachemodus aktiviert ist), wird bei einem lokalen Zugriff auf die E-Mail in Outlook kein Zugriffsscanereignis auf dem Exchange-Server ausgelöst. Für diesen Fall, wenn die E-Mail sich bereits im Clientcache befindet, empfehlen sich Hintergrundscans. Wenn beim Hintergrundscan ein Virus entdeckt wird, wird die Speicherkopie der Nachricht bereinigt oder gelöscht. Dies bedeutet, dass der Client die (bereinigten oder entfernten) Nachrichten bei der nächsten Verbindung mit dem Exchange-Server erneut synchronisieren muss.

Hintergrundscans können nun auch inkrementell durchgeführt werden, um eine Leistungsverbesserung zu erzielen. Mit dieser Funktionalität können Administratoren Hintergrundscanaufträge so konfigurieren, dass Nachrichten entsprechend ihres Empfangsdatums gescannt werden. Administratoren können z. B. in Forefront einen Hintergrundscanauftrag außerhalb der Spitzenzeiten planen, mit dem nur Nachrichten gescannt werden, die in den vergangenen 2 Tagen empfangen wurden. Administratoren können mit einem Hintergrundscan auch einen Postfachserver bereinigen, wenn im Speicher infizierte Elemente gefunden wurden.

Ein inkrementelles Hintergrundscannen reduziert die Belastung des Speichers drastisch und bietet erhöhten Schutz für die zuletzt eingegangenen Nachrichten, die vom Exchange-Server empfangen wurden, bevor die entsprechenden Signaturen für diesen Virus verfügbar waren. Hintergrundscans verwenden dieselben Konfigurationseinstellungen, die im Echtzeitscanauftrag konfiguriert wurden.

Microsoft empfiehlt, für einen Server für öffentliche Ordner das proaktive Scannen zu aktivieren, damit der Inhalt bei der Übertragung zum Server gescannt wird und keine Downloadverzögerungen beim Zugriff auf den Inhalt auftreten.

Als lizenzierter Benutzer von Forefront Security für Exchange Server stehen Ihnen Premium-Antispamdienste zur Verfügung. Der Premiumdienst aktualisiert den Inhaltsfilter täglich über Microsoft Update. Zusätzlich umfasst der Dienst bis zu sieben Updates pro Tag für die Spamsignaturen und den Microsoft IP-Absenderzuverlässigkeitsdienst, die bei Bedarf zur Verfügung stehen. Der Basisspamschutz in Exchange 2007 wird durch die Premium-Antispamdienste um folgende Dienste erweitert:

  • Microsoft-IP-Absenderzuverlässigkeitsdienst, der Absenderzuverlässigkeitsinformationen zu IP-Adressen bereitstellt, von denen bekannt ist, dass sie Spam verbreiten. Dabei handelt es sich um eine IP-Sperrliste, die exklusiv für Exchange 2007-Kunden angeboten wird. Der Premium-Spamschutz umfasst außerdem bis zu sieben automatische Updates pro Tag für diesen Filter, die bei Bedarf verfügbar sind.

  • Updates der Spamsignaturen, mit denen die neuesten Spamkampagnen identifiziert werden können. Die Signaturupdates sind bis zu sieben Mal pro Tag bei Bedarf verfügbar.

  • Automatische Updates der Inhaltsfilter für die Microsoft Smartscreen-Spamheuristik, Phishingwebsites sowie Updates anderer intelligenter Nachrichtenfilter.

  • Gezielte und automatische Updates von Spamsignaturdaten, um die letzten Spamkampagnen zu identifizieren.

Diese Funktionen tragen dazu bei, Ihre Organisation mit dem aktuellsten Schutz vor den neuesten Spamattacken auszustatten.

Weitere Informationen zum Spamschutz finden Sie im Kapitel über das Verwalten der Antispam- und Antivirenfunktionen (möglicherweise in englischer Sprache) in der Microsoft Exchange Server 2007-Dokumentation.

Forefront Security für Exchange Server enthält die folgenden Komponenten:

  1. FSCController

  2. Forefront Server Security Administrator (FSSAClient)

Die aktuellste Dokumentation für Microsoft Forefront Security für Exchange Server, einschließlich des "Handbuchs zu ersten Schritten mit Microsoft Forefront Security für Exchange Server", des "Handbuchs mit bewährten Methoden für Microsoft Forefront Security für Exchange Server" und des "Handbuchs für die Installation von Microsoft Forefront Security für Exchange Server im Cluster", steht im TechCenter für Microsoft Forefront Security für Exchange Server zur Verfügung.

 
Anzeigen: