Exchange Antivirus auf File-Ebene?

Bei dieser Frage scheiden sich oft die Geister. Ist ein Virenscanner auf Dateiebene auf einem Exchange Server sinnvoll? Bremst er möglicherweise die Performance aus? Kann man da was falsch machen? Eine Sache ist sicher: Microsoft unterstützt den Einsatz eines Virenscanners auf einem Exchange Server.

Jeder hat seine eigene Meinung zu dem Thema. Ich empfehle den Einsatz eines Virenscanners auf Dateiebene nicht (auf einem Exchange Server). Natürlich erkläre ich auch warum:

1. Es verleiht dem/den Exchange Server(n) mehr Komplexität. Es gibt einen (oder mehrere) zusätzliche Server, die über eine Konsole administriert und überwacht werden müssen. Möglicherweise ist hier und da mal die Installation eines neuen Agents notwendig. Vielleicht gibt es auch mal Probleme mit einem Agent und der gesamte Server muss neu gestartet werden.

2. Die richtige Konfiguration des Virenscanners ist nicht unerheblich. Es gibt eine ganze Menge Ausnahmen, die für dieses Szenario konfiguriert werden müssen. Eine genaue Liste gibt es im Microsoft Technet. Unterläuft Ihnen hier ein Fehler, so leidet im besten Fall nur die Performance des Servers darunter. Im schlimmsten Fall aber kommt es zu den merkwürdigsten Fehlerbildern. Oder aber der Virenscanner sperrt eine Datenbankdatei während des Scans und der Informationstore möchte aber etwas in die Datenbank hinein schreiben.

3. Wie Sie anhand der Ausnahmeliste schon sehen, scannt ein eventuell eingesetzter Virenscanner nicht die Postfachdatenbanken (darf er auch nicht) und damit nicht die Postfächer. In diesem Bereich haben Sie also überhaupt keine Sicherheit gewonnen.

Ist mein Exchange Server also auch ohne Virenscanner auf Dateiebene sicher?

Meiner Meinung nach sollte das Hauptaugenmerk auf der Hauptursache für Viren liegen: den Clients. Sind die Clients nicht ausreichend geschützt, so kann sich mancher Virus rasant im Netzwerk ausbreiten und dabei auch Ihre Server befallen. Daher muss an dieser Stelle unbedingt ein gutes Konzept vorliegen. Natürlich sollten andere Server entsprechend gegen Viren geschützt sein. Die Wahrscheinlichkeit, dass ein Virus dann noch in das Netzwerk gelangt ist wesentlich geringer.

Was ist aber mit externen Mails, oder mit Mails, die von internen Anwendern beispielsweise per OWA versendet werden? Hier ist natürlich ein Virenscanner auf Transportebene Pflicht! Im besten Fall erreichen externe Mails ein Gateway in der DMZ und werden dort geprüft, bevor Sie die internen Exchange Server erreichen. Es gibt zwar auch Softwarelösungen für Exchange, jedoch präferiere ich die erste Methode. Für den internen Mailverkehr bietet Exchange 2013 einen eingebauten Malware Schutz. Dieser Agent lässt sich über die Powershell installieren und inspiziert die Mails, die innerhalb der Organisation versendet werden. Er kostet wenig Ressourcen und bietet dafür eine annehmbare Sicherheit.

Fazit: Ein Virenscanner auf Dateiebene kann auf Exchange Servern installiert werden. Dies erhöht jedoch den administrativen Aufwand und bietet eine höhere Fehleranfälligkeit. Die angestrebte Sicherheit ist dabei oft nicht so hoch wie erwartet. Ganz wichtig ist es, vor allem Ihre Clients aktiv zu schützen und damit Ihr Sicherheitskonzept zu stärken.

Tagged with: ,
Veröffentlicht in Exchange

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

DeBugIT Autoren

Gib deine E-Mail-Adresse ein, um diesem Blog zu folgen und per E-Mail Benachrichtigungen über neue Beiträge zu erhalten.

Follow DeBugIT – IT Blog on WordPress.com
%d Bloggern gefällt das: