Hello,
 
J'ai un gros gros soucis, avec notre amis My-Doom, sur notre réseau (150 clients avec symantec AV corporate 8.1 à jour PARTOUT)  
 
Nous avons un serveur exchange 5.5 sur lequel notre anti-virus trouve des fichiers infectés dans: /exchsrvr/imcdata/in/
 
Donc notre antivirus gentillement SUPPRIME des fichiers dans ce répertoire ... le virus ne semble pas se propager (protection au niveau de notre Relais SMTP) mais j'ai vraiment TRES TRES peur pour la base exchange vu que l'AV supprime des choses dedans de manière brutale.
 
Une idée SVP?
 

Des mails infectés ont du etre envoyé a l'adresse d'un de tes users et passer au travers de ta passerelle, mails qui du coup se retrouve dans ton exchange, ce que ne signifie absolument pas que ton serveur ou un des tes clients est infecté, juste qu'un mail vérolé est dans le systeme.
Par contre il fait que tu configures ton Norton pour exclure de toutes ses analyses et de la protection en temps réel tous les dossiers exchange, la ca n'est encore pas trop mechant c'est juste la boite de reception du connecteur SMTP, au pire tu as pu perdre quelques mails entrant, mais imagine qu'il te foute en quarantaine ta base de boites aux lettres...
Si tu veux protéger ton serveur avec Norton, il faut que tu achetes le module spécifique a Exchange.

Si tu as installé le filtre pour Exchange c'est normal... tes utilisateurs recoivent le mail, il est stocké dans le dossier entrant, le filtre vérifie et si il est infecté vire le mail en question sans le délivrer à l'utilisaeur.
 
Gros avantage les messages infectés arrivent jusqu'au serveur, mais pas au client. Vu qu'il n'est jamais exécuté ton serveur ne craint pas grand chose.
 
Par contre je te conseille si tu as installé ton AV Server (je ne parle pas du filtre Exchange, mais de l'anti-virus qui scan les fichiers) d'exclure de l'analyse fichier les répertories des utilisateurs Exchange, ce n'est pas son job d'aller fouilles la bas, c'est celui du filtre SAV pour Exchange (disponible sur le 3ème CD).

Ok merci, de plus pollo, je ne gere pas de quarantaine !!
DONC: si le virus peut etre nettoyé, on nettoie ! et sinon: ON SUPPRIME !!!
 
Alors sur la base Exchange ca serait grave je pense !!!
 
Sinon requin je n'ai pas l'agent Exchange, j'ai simplement installé le client AV corporate sur mon serveur !

Ben ca va faire mal....

C'est bon, j'ai exclu les répertoires de ma base exchange seulement: priv.edb, pub.edb et dir.edb
 
Ca devrait etre bon non? d'après vous?
Seulement le fichiers qui sont supprimés dans /exchsrvr/imcdata/in/ ? ils correspondont à quoi?

Par contre j'ai une erreur dans mon journal d'événement:
 

Je pense que le serveur essaye de supprimer un fichier du spool, mais vu que l'antivirus l'a déja supprimé ca pause pb...
 
Je le sent mal tous ca

Si je me trompe pas \exchsrvr\imcdata\in\ est le répertoire de l'Internet Mail Connector dans lequel arrivent tous les messages entrants depuis le net avant leur traitement.

ok, et le fait de supprimer ces fichiers sauvagement? est très génant à ton avis?
 

 
Mais là qqch m'échappe dans ce cas ! comment ces mails peuvent ils arriver là sachant que notre relais SMTP refuse tous les mails infectés?
 

Je ne pense pas... il s'agit de queue ou si je ne me trompe pas chaque mail a un fichier séparé, donc supprimer le fichier empêche juste sa delivery.
 
Si ces mails arrivent la c'est que (hypothèses) :
- ton relais peut-être court-circuité (par exemple le serveur SMTP est accessible depuis son IP et des virus avec leur propre moteur de scan / envois SMTP tombent dessus)
- sur le relais l'AV n'est pas 100% efficace

Le serveur exchange est accessible via son IP oui, MAIS uniquement depuis le LAN !!! or sur ce LAN chaque poste est équipé d'un AV...
 
Sinon au niveau de l'AV du relais SMTP dans le doute je refuse les extensions .ZIP (en plus de toutes les extensions porteuses de virus habituelles).
 
Donc je ne vois pas...  
 
Est ce possible depuis le serveur Exchange d'accepter des mail en entré UNIQUEMENT depuis mon relais SMTP?

 
Pas grave effectivement, elle serait juste supprimé intégralement

 
Vire tous les dossiers exchange, le fait de laisser l'AV bosser dessus ne peut apporter que des ennuis.
Et /exchsrvr/imcdata/in/ je l'ai dis plus haut c'est la qu'arrive tous les messages smtp entrant depuis l'extérieur.

 
http://www.msexchange.org/tutorial [...] er_55.html

Merci !
Mais heureusement qu'il bosse sur la file d'attente de mail entrant !! sinon les mails infecté serait dans la base elle même !!!
 
... sinon ta procédure c'est pour interdire le relais, je connaissait, mais ca ne suffit pas si?  
et si je l'aplique en plus mes clients mail MAC ne fonctionnent plus
(d'ailleurs le virus vient peut etre d'eux !!!!!!!)
 
A moins que je laisse les mails passer (en virant l'analyse dans \exchsrvr\imcdata\in\ ... ainsi les virus devraient etre supprimé par les clients outlook (car l'agant symantec est installé sur tous les clients)
 
PS: J'ai regardé les log de connexions, j'ai des connexions uniquement depuis mon serveur relais SMTP.

Il est bien a jour l'AV de ta passerelle ?
 
Sinon dans tous les cas il faut vraiment que tu vires l'analyse sur les dossiers exchange, ca ne peut t'apporter que des ennuis (xp inside), si tu veux que norton protege exchange y'a pas 50 solutions il faut le module de protection pour exchange.
 
Et le virus est 100% windows, y'a peu de chance que ce soit tes users mac qui s'amusent a essayer d'infecter ton serveur.
 
Et la procédure pour interdire le relais dois suffire, tu autorise juste l'IP de ta passerrelle et ton nom de domaine, tu peux de toutes facons pas faire grand chose de plus.

J'ai viré l'analyse sur la base de donnée !! qui est sur un autre disque !
 
Tu penses qu'il faut enlever l'analyse du programme lui même aussi? dans ce cas que vont devenir mes mails infectés qui sont bloqué pour le moment?
 
Sinon OUI l'AV de ma passerelle est à jour (Mise à jour tous les 1/4 d'heure) car il arrete déja 500 mails par jour.

Bon, j'ai viré l'analyse "temps réel" sur les dossiers Exchange, seulement maintenant je me retrouve avec des virus sur les clients... je ne comprends plus rien...

Y'a ScanMail de Trend qui est très efficace pour la protection d'exchange et sa base
http://fr.trendmicro-europe.com/en [...] &family=15