Diese Schnittstelle ist der bisher gebräuchlichste Ansatzpunkt für Exchange-Antivirenlösungen. Der Virenscanner meldet sich über MAPI an jeder einzelnen Mailbox an. Sobald eine eMail in einer Mailbox abgelegt wird, überprüft das Antivirenprogramm die eMail bzw. die Dateianhänge auf Viren.

Diese Vorgehensweise bietet einige Angriffspunkte:

Der bei weitem gravierendste Nachteil besteht in der Gefahr, dass Viren aktiviert werden können, bevor der Virenscanner diese überprüft hat. Attachments können ungescannt „durchrutschen“.
Wie schon erläutert, wartet der Scanner in jeder Mailbox auf neue eMails. Erst wenn sie in dem Postfach abgelegt wurden, wird der Virenscanner aktiv. Der Virenscanner erfährt also im selben Moment von einer neuen Mail, wie der Empfänger. Normalerweise dauert der Scan-Vorgang nur Bruchteile von Sekunden, und die eMail ist schon überprüft, wenn der Anwender sie öffnet. Bei hoher CPU-, Speicher- oder Netzwerkauslastung kann es jedoch passieren, das eine eMail mehrere Sekunden ungeprüft im Posteingang liegt. In dieser Zeit kann ein verseuchter Anhang leicht geöffnet werden und ein Virus kann sein Werk verrichten.

Da der Scanner nur über sog. MAPI Alerts (= Benachrichtigung, dass eine neue Nachricht in der Mailbox angekommen ist) von einer neuen eMail erfährt, kann er nur eingehende eMails überprüfen. Verseuchte eMails, die versendet werden, können nicht erfasst werden.
Das Anmelden des Virenscanners an jeder einzelnen Mailbox beansprucht sehr viel Prozessorleistung. Wird eine eMail an mehrere Empfänger (Verteilerliste) im Unternehmen verschickt, wird diese in jeder Mailbox einzeln gescannt. Dies benötigt ebenfalls unnötig Prozessorleistung.

Probleme bei MAPI:

• MAPI nicht für Virenschutz entwickelt
• Nachrichten können realtime "durchrutschen"
• kein Outbound
• Anmeldung an allen Mailboxen
• Probleme beim Anlegen/Verschieben/Löschen von Mailboxen

Seitenanfang
 

AV-API (Anti Virus API)

Da MAPI, wie oben beschrieben, einige schwerwiegende Nachteile hat, wurde von Microsoft AV-API (Anti Virus API) entwickelt. Viele neuere Antivirenprogramme nutzen bereits diesen Ansatz.

Virenscanner, die AV-API nutzen, greifen ein, wenn eine eMail im Information Store gespeichert wird, also bevor sie in das jeweilige Postfach gelangt. Sämtliche Dateianhänge werden erst in eine sog. Attachment Queue gestellt, in der sie vom Virenscanner sequentiell abgearbeitet werden. Erst wenn der Virenscanner den Anhang freigibt, kann der Empfänger auf die eMail zugreifen.

Dadurch werden zwei entscheidende Schwachstellen der MAPI Architektur vermieden: es können keine eMails ungescannt zum Empfänger gelangen und eine Anmeldung an allen Mailboxen ist nicht mehr erforderlich.

AVAPI Vorteile:

• setzt an MAPI Schwachstellen an
• scannt ALLE Attachments (kein "durchrutschen" mehr möglich)
• kein Anmelden an Mailboxen
• vom Microsoft Exchange-Team entwickelt

Allerdings hat auch die AV-API Architektur einige Schwachstellen. So ist derzeit noch keine Benachrichtigung des Viren Versenders und Empfängers möglich. Der Virenscanner erkennt und entfernt zwar gefundene Viren, es ist allerdings kein detailliertes Reporting darüber möglich, von wem der Virus versendet wurde und wer der Empfänger ist.
Zusätzlich ist ein AV-API Scanner sehr tief im Exchange Information Store verwurzelt, da der Scanvorgang im selben Adressraum läuft, wie der Store selbst. Dies kann, vor allem in Anbetracht der Tatsache, dass AV-API eine sehr junge Technologie ist, zu negativen Auswirkungen auf den Exchange Store führen. So sind bereits Fälle bekannt, in denen eine defekte Scan-Engine den Information Store beschädigt hat.
Probleme gibt es derzeit auch noch beim Scannen von HTML Mails in Verbindung mit Exchange 2000. Mails die bspw. über Outlook Web Access versendet und empfangen werden, speichert Exchange direkt in der sog. Streaming Database (STM). Sie können in der aktuellen Version des AV-API nicht gescannt werden. Dies gilt auch für Nachrichten, die in Exchange 2000 über das Installable Filesystem (Laufwerk M: ) gespeichert werden. Sie werden ebenfalls nicht auf Viren überprüft.

AVAPI Nachteile:

• kein Nachrichten Kontext im Report
• sehr tiefe Integration in den Exchange Store
  • fehlerhafte Scanner oder Updates können ihn beschädigen

Seitenanfang

ESE-API (Extensible Storage Engine API)

Da es bei MAPI und AVAPI, wie oben erläutert, Sicherheitslücken gibt, wurde ein Weg über die Extensible Storage Engine (ESE) des Exchange-Servers entwickelt. ESE ist der Basisdienst, auf dem der Information Store des Exchange Servers aufgesetzt ist. Die sog. ESE.DLL steuert den Schreibvorgang in den Information Store.

Sobald ein Schreibvorgang in den Information Store erfolgt, wird die betreffende Nachricht vom ESE-API Scanner erfasst und gescannt. Nach dem Scannen wird die Nachricht abgespeichert. Da Schreibvorgänge nicht nur beim Empfangen von eMails erfolgen, sondern auch beim Versenden und sogar bereits beim Speichern von Nachrichtenentwürfen, können so von keiner Seite verseuchte eMails in den Store gelangen.

Vorteile von ESE-API sind daher: Ein Anhang kann nicht geöffnet werden, wenn er nicht von dem Virenschutzprogramm überprüft wurde. Er erscheint erst dann im Posteingang des Empfängers, wenn er vom Scanner freigegeben wurde. Darüber hinaus muss eine eMail, die an mehrere Empfänger geht, nur einmal überprüft werden, da sie auch nur einmal im Information Store gespeichert wird. Somit werden auch die Systemressourcen geschont.
Im Unterschied zum AV-API geht beim Scannen über die ESE-API der Nachrichtenkontext einer Mail nicht verloren. So ist die Ermittlung des Senders und Empfängers einer verseuchten Mail möglich und Benachrichtigungen können entsprechend versendet werden. Vorteil gegenüber dem AV-API Ansatz ist auch, dass diese Schnittstelle bereits seit mehreren Jahren (u.a. von Backuplösungen, aber auch von der Virenschutzlösung Sybari Antigen) als Zugangspunkt zum Store verwendet wird und daher entsprechende Erfahrungswerte vorliegen, die sich bei AV-API erst einstellen müssen.

Vorteile von ESE-API: