規劃防毒部署

發行項
10/25/2013

適用版本： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間： 2007-08-06

透過電子郵件系統傳送的病毒、蠕蟲及其他惡意內容，是大多數 Microsoft Exchange 系統管理員都會面臨的破壞性力量。因此，您必須為所有郵件系統開發防禦性的防毒部署。本主題針對 Microsoft Exchange Server 2007 及 Microsoft Office Outlook 2007 提供部署防毒軟體時的最佳作法建議。

在選取防毒軟體廠商時，您應該特別注意 Exchange 2007 中兩項重要的變更：

Exchange 2007 是基於 64 位元的架構。
如本主題稍後將詳細說明的，Exchange 2007 包括了新的傳輸代理程式功能。

這兩項變更意味著防毒廠商必須提供 Exchange 2007 專用的軟體。針對較早版本之 Exchange Server 撰寫的防毒軟體不大可能與 Exchange 2007 正確地搭配運作。

若要採用深入的防禦措施，建議您除了要在使用者的桌上型電腦上部署防毒軟體外，也要在簡易郵件傳送通訊協定 (SMTP) 閘道或主控信箱的 Exchange 伺服器上，部署專為郵件系統設計的防毒軟體。

您可以在您願意承擔的成本與風險之間取得適當的平衡，以決定要使用的防毒軟體類型，以及要部署防毒軟體的位置。例如，有些組織會在 SMTP 閘道上執行防毒郵件傳送軟體、在 Exchange 伺服器上執行檔案層級的防毒掃描，並在使用者的桌上型電腦上執行防毒用戶端軟體。此方式可在閘道提供郵件特定保護、在郵件伺服器提供一般檔案層級保護，以及在用戶端提供保護。有些組織可能可以承擔較高的成本，因此可以在 SMTP 閘道執行防毒郵件傳送軟體、在 Exchange 伺服器執行檔案層級的防毒掃描，並在使用者的桌上型電腦上執行防毒用戶端軟體，同時輔以 Exchange 信箱伺服器上與病毒掃描應用程式發展介面 (VSAPI) 2.5 相容的防毒軟體，以加強安全。

在 Edge Transport 與 Hub Transport Server 上執行防毒軟體

執行傳訊防毒軟體最重要的位置，可能是在您組織中的第一道防禦線。在 Exchange 2007 中，第一道防線是在 Edge Transport Server 上的周邊網路。

為加強防禦組織內部爆發病毒疫情，並提供第二道防線，也建議您在組織內部的 Hub Transport Server 上執行傳輸型防毒軟體。

在 Exchange 2007 中，代理程式會針對傳輸事件而作用，這很類似舊版 Microsoft Exchange 中的事件接收器。協力廠商的開發人員可以撰寫自訂的代理程式，利用基礎的 Exchange MIME 剖析引擎，進行強大的傳輸層級防毒掃描。

許多協力廠軟體商都會提供 Exchange 2007 專用的代理程式，這些代理程式會利用 Exchange 傳輸的 MIME 剖析引擎。如需相關資訊，請連絡您的防毒廠商。

此外，Microsoft Forefront Security for Exchange Server 也包含了 Exchange 2007 的傳輸防毒代理程式。如需如何安裝和設定 Forefront Security for Exchange Server 防毒代理程式的相關資訊，請參閱 Microsoft Forefront Security for Exchange Server 使用手冊 (英文)。

附註：
只對傳輸進行的病毒掃描無法保護不是透過傳輸來路由傳送的物件，例如公用資料夾中的項目、寄件備份及行事曆項目，這些都只能在信箱伺服器上掃描。

在組織內其他電腦上執行防毒軟體

您可以在下列兩種類別的電腦上執行檔案層級的病毒掃描：

使用者桌上型電腦
伺服器

除了檔案層級病毒掃描之外，也請考慮在您的 Exchange 信箱伺服器上執行 Microsoft VSAPI 解決方案。

桌上型電腦病毒掃描

強烈建議您的使用者執行最新版的 Outlook。如果您在桌上型電腦上執行舊版的電子郵件用戶端，您便會因為舊型電子郵件用戶端中的物件模型和附件處理行為而冒上嚴重的風險。因此，根據預設，Exchange 2007 只會接受來自 Outlook 2003 和 Outlook 2007 兩種 MAPI 用戶端的連線。如需執行舊版電子郵件用戶端的相關風險資訊，請參閱採取措施保護 Outlook (英文)。

升級到 Outlook 2003 或 Outlook 2007 之後，請確認您已經在所有桌上型電腦上安裝了檔案層級的防毒軟體產品。此外，請採取下列步驟：

擬定計劃，確定在所有桌上型電腦上會自動更新病毒碼檔案。
確定您擬定並維護組織中的端對端更新管理解決方案，以杜絕病毒。

伺服器病毒掃描

在組織中的所有桌上型電腦和伺服器電腦上，建議採用一般原則來執行檔案層級掃描。這樣一來，所有 Exchange Server 電腦上都會有執行某種形式的檔案層級防毒掃描。您必須針對每個伺服器角色來執行額外的檔案層級掃描設定，以避免掃描某些目錄、檔案類型及處理程序。例如，建議您絕不要對 Exchange 儲存區資料庫執行檔案層級防毒軟體。如需特定組態資訊，請參閱 Exchange 2007 上的檔案層級防毒掃描。

使用 VSAPI 掃描信箱資料庫

對許多組織而言，Microsoft VSAPI 掃描解決方案可能是防禦工事中很重要的一環。如果符合下列任一條件，您就應該考慮執行 VSAPI 防毒解決方案：

您的組織沒有部署完整而可靠的桌上型電腦防毒掃描產品。
您的組織想要獲得儲存區掃描所能提供的額外保護。
您的組織已開發自訂應用程式，可透過程式控制方式來存取 Exchange 資料庫。
您的使用者社群會例行張貼訊息至公用資料夾。

使用 Exchange VSAPI 的防毒解決方案會直接在 Exchange 資訊儲存庫處理程序中執行。VSAPI 解決方案可能是唯一能夠略過標準用戶端及傳輸掃描，防止攻擊媒介將感染內容放在 Exchange 資訊儲存庫中的解決方案。例如，VSAPI 是唯一會對 CDO (協同作業資料物件)、WebDAV 及 Exchange Web 服務提交到資料庫的資料進行掃描的解決方案。

此外，當病毒真的爆發時，VSAPI 防毒解決方案多半會提供最快的方式來移除及消滅感染之郵件儲存區中的病毒。

如需如何執行 Forefront Security for Exchange Server (包括 VSAPI 掃描引擎) 的相關資訊，請參閱使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織 (英文)。

使用 Exchange Hosted Services

垃圾郵件及病毒篩選已透過 Microsoft Exchange Hosted Services 予以加強，也可作為上述服務的服務。Exchange Hosted Services 是一組四個不同的託管服務：

託管篩選，可協助組織自保，避免遭到電子郵件帶來的惡意程式碼破壞
託管封存，可協助組織滿足相容性的保留需求
託管加密，可協助組織加密資料以保留機密性
託管持續性，可協助組織在緊急情況期間及之後保留電子郵件的存取

這些服務會整合任何內部管理的內部部署 (on-premise) Exchange 伺服器，或透過服務提供者提供的託管 Exchange 電子郵件服務。如需 Exchange Hosted Services 的相關資訊，請參閱 Microsoft Exchange Hosted Services。