single.php
< Beitrag von Robert Renard

Exchange Antivirus auf File-Ebene?

Bei dieser Frage scheiden sich oft die Geister: Ist ein Virenscanner auf Dateiebene auf einem Exchange Server sinnvoll? Bremst er möglicherweise die Performance aus? Kann man da was falsch machen? Eine Sache ist sicher: Microsoft unterstützt den Einsatz eines Virenscanners auf einem Exchange Server. Im Folgenden gehe ich darauf ein, welche Argumente gegen den Einsatz von Exchange Antivirus auf File-Ebene sprechen.

Was gegen den Einsatz von Exchange Antivirus auf File-Ebene spricht

Jeder hat seine eigene Meinung zu dem Thema. Ich empfehle den Einsatz eines Virenscanners auf Dateiebene nicht (auf einem Exchange Server). Gerne erkläre ich warum:

  1. Es verleiht dem/den Exchange Server(n) mehr Komplexität. Es gibt einen (oder mehrere) zusätzliche Server, die über eine Konsole administriert und überwacht werden müssen. Möglicherweise ist hier und da mal die Installation eines neuen Agents notwendig. Vielleicht gibt es auch mal Probleme mit einem Agent und der gesamte Server muss neu gestartet werden.
  2. Die richtige Konfiguration des Virenscanners ist nicht unerheblich. Es gibt eine ganze Menge Ausnahmen, die für dieses Szenario konfiguriert werden müssen. Eine genaue Liste findet man im Microsoft Technet. Unterläuft Ihnen hier ein Fehler, so leidet im besten Fall nur die Performance des Servers darunter. Im schlimmsten Fall aber kommt es zu den merkwürdigsten Fehlerbildern. Oder aber der Virenscanner sperrt eine Datenbankdatei während des Scans, aber der Informationstore möchte etwas in die Datenbank hineinschreiben.
  3. Wie Sie anhand der Ausnahmeliste schon sehen, scannt ein eventuell eingesetzter Virenscanner nicht die Postfachdatenbanken (darf er auch nicht) … und damit nicht die Postfächer. In diesem Bereich haben Sie also überhaupt keine Sicherheit gewonnen.

Ist mein Exchange Server also auch ohne Virenscanner auf Dateiebene sicher?

Meiner Meinung nach sollte der Fokus auf der Hauptursache für Viren liegen: den Clients. Sind die Clients nicht ausreichend geschützt, so kann sich mancher Virus rasant im Netzwerk ausbreiten und dabei auch Ihre Server befallen. Daher muss an dieser Stelle unbedingt ein gutes Konzept vorliegen. Natürlich sollten andere Server entsprechend gegen Viren geschützt sein. Die Wahrscheinlichkeit, dass ein Virus dann noch in das Netzwerk gelangt, ist wesentlich geringer.

Was ist aber mit externen Mails oder mit Mails, die von internen Anwendern beispielsweise per OWA versendet werden? Hier ist ein Virenscanner auf Transportebene Pflicht! Im besten Fall erreichen externe Mails ein Gateway in der DMZ und werden dort geprüft, bevor Sie die internen Exchange Server erreichen. Es gibt zwar auch Softwarelösungen für Exchange, jedoch präferiere ich die erste Methode. Für den internen Mailverkehr bietet Exchange 2013 einen eingebauten Malware-Schutz. Dieser Agent lässt sich über die Powershell installieren und inspiziert die Mails, die innerhalb der Organisation versendet werden. Er kostet wenig Ressourcen und bietet dafür eine annehmbare Sicherheit.

Geschützte Clients für ein starkes Sicherheitskonzept

Fazit: Ein Virenscanner auf Dateiebene kann auf Exchange Servern installiert werden. Dies erhöht jedoch den administrativen Aufwand und bietet eine höhere Fehleranfälligkeit. Die angestrebte Sicherheit ist dabei oft nicht so hoch wie erwartet. Ganz wichtig ist es, vor allem Ihre Clients aktiv zu schützen und damit Ihr Sicherheitskonzept zu stärken.

Folgen
X

Folgen

E-mail : *
Kategorie: Unified Communication | Schlagwörter: , , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.