| %26#8226; | 与 Exchange Server 2003 网关平台集成的能力,包括支持多个 SMTP 虚拟服务器 |
| %26#8226; | 邮件方向辨别;对传入、传出和内部电子邮件实施不同策略 |
| %26#8226; | 文件筛选和附件阻止功能 |
| %26#8226; | 容忍失败;失败恢复 |
| %26#8226; | 支持自定义防病毒操作和通知 |
| %26#8226; | 支持多个病毒扫描引擎 |
性能:
| %26#8226; | 总体解决方案吞吐量 |
| %26#8226; | 系统开销 |
| %26#8226; | 正常负载和高峰负载期间的性能特征 |
可用性和支持:
| %26#8226; | 远程监视和管理 |
| %26#8226; | 复杂性和管理开销 |
| %26#8226; | 受供应商支持的产品质量 |
| %26#8226; | 与现有操作工具和过程的集成 |
作为防病毒策略的一部分,Microsoft IT 根据附件文件扩展名和类型自动从传入电子邮件中删除某些类型的附件。网关层防病毒软件自动剥离某些特定文件类型(例如,.exe、.cmd 和 .com)的附件,而不管它们是否感染了病毒。这些附件会带来较大的病毒感染风险,在网络最外层剥离它们可防止环境遭受那些可能尚未为其开发或部署防病毒签名的未知恶意软件或新恶意软件的攻击。如果某附件已被剥离,邮件本身仍将继续传递,并且内部收件人会接收到相应的通知。
Microsoft IT 认为将邮件传递给收件人是很重要的,即使附件已被删除。如果被剥离的附件内容是合法的,收件人可使用其他方法检索该信息,例如要求发件人以另一种不同的格式重新打包数据或使用另一种文件传输方法,如文件传输协议 (FTP)。
某些类型的恶意软件感染,例如蠕虫,可能会生成大量电子邮件,这些邮件到达同一个电子邮件网关或 SMTP 路由服务器,传递给大量收件人。除了受感染的负载带来的威胁以外,这些邮件的数量还经常导致电子邮件系统出现性能问题。对于此种电子邮件,依靠附件剥离或从邮件中删除病毒可以消除感染,但无法减轻其中的拒绝服务攻击。为了有效地抵御此种威胁,Microsoft IT 实施了一种将附件剥离和邮件删除集成在一起的解决方案。当大量邮件病毒感染邮件时,系统会将整个邮件从邮件流中删除,因而最大限度地减少了环境的性能开销。
基于签名的防病毒措施不会比病毒定义文件(也称为签名文件或代码文件)的质量更有效。要不断防范新病毒的威胁,组织必须保持签名文件是最新的。另一个重要的注意事项是使用最新扫描引擎 — 即执行邮件分析和扫描的邮件处理组件。
Microsoft IT 使用拉取方法来下载最新的防病毒签名文件和扫描引擎。拉取机制允许 Microsoft IT 为此种下载建立灵活的自定义进度表,帮助保持所有电子邮件病毒扫描系统一致和最新。如果在自动下载之间的时间段内可以获得更新,Microsoft IT 还具备手动拉取下载的能力。此能力为 Microsoft IT 提供了应付潜在紧急情况所需的灵活性。
对于防病毒管理,Microsoft IT 认为拥有明确的策略并执行明确定义的、有秩序的过程是很重要的。Microsoft IT 尽可能自动执行过程。例如,为了确保防病毒软件是最新的并一直在所有服务器上保持运行,Microsoft IT 已自动化了部署在其网关上的防病毒签名文件和扫描引擎的版本验证过程。如果检测到偏差,例如某一特定服务器没有运行最新的签名文件,管理员就会收到关于此问题的警报。
除了监视检测到的病毒的数量外,监视已处理电子邮件数量的每日统计信息也是管理过程中的一个重要部分。Microsoft IT 在某一天可能会检测 20,000 种病毒,而在另一天则检测 200,000 种病毒。想判断出趋势并不容易,因为 Microsoft IT 遇到的任何病毒攻击都会直接反映到统计信息中。尽管 Microsoft 经常是攻击的目标,但有时某种特定攻击给其他公司带来的消极影响比 Microsoft IT 还要大。影响的大小具体取决于该攻击的目标域。使用基于每日统计信息的统计数据,管理员可以追溯业界遭受该攻击的日期和时间,然后确定攻击在某一特定时间的影响。
本文最主要的重点是邮件服务环境;因此,关于病毒扫描的讨论主要集中在邮件级别上。不过,值得注意的是,Microsoft IT 还在文件级别的 Exchange Server 2003 服务器上执行防病毒扫描。这种扫描完全独立于邮件级别扫描,单靠这种扫描无法使邮件服务环境免受以电子邮件为载体的病毒的侵扰。
文件级别扫描对于将 Exchange 服务器本身作为基础结构元素来保护是很关键的。如果没有操作系统级别的防病毒保护,常规操作活动(例如服务器维护、修补或故障排除)则可能会导致服务器意外感染病毒,进而可能导致邮件服务可用性降低和数据丢失。
计划在 Exchange Server 2003 服务器上使用文件级别防病毒软件的组织应格外谨慎。因为文件级别防病毒软件通常不知道特定于 Exchange 的数据(例如 Exchange 数据库和日志文件)的内部结构,扫描此种内容通常导致服务器失败,也可能导致数据损坏。文件级别防病毒软件必须采用特别的配置来排除任何与 Exchange Server 相关的数据,例如邮箱存储、事务日志、临时目录、消息队列和其他相关的文件位置。对 Exchange 服务器使用的文件级别软件配置不当是邮件服务环境中的常见错误。有关对 Exchange 使用防病毒工具的详细信息,请参阅 Microsoft 知识库文章“与 Exchange Server 2003 配合使用的防病毒软件概述”(网址为
