La protection antivirus constitue l'une des principales tâches de Kaspersky Security. Dans ce cadre, l'application recherche la présence éventuelle de virus et d'autres menaces informatiques dans le flux de messagerie ainsi que dans les messages des boîtes aux lettres. Elle répare également les messages et autres objets de Microsoft Exchange infectés, par exemple les messages, les tâches ou les entrées dans les dossiers publics.
À partir de ce moment-là, toutes les informations et instructions sur l'exécution d'actions concernant les messages sans perte de généralité sont également appliquées aux autres objets Microsoft Exchange (par exemple les tâches, les rendez-vous, les réunions, les entrées), sauf en cas d'indication contraire.
Principes de fonctionnement généraux de l'Antivirus
L'Antivirus analyse la messagerie à l'aide de la dernière version des bases téléchargée, de l'analyse heuristique et des services dans le cloud Kaspersky Security Network, si l'utilisation de ces services est activée dans l'Antivirus.
L'Antivirus vérifie le contenu du message (corps) ainsi que les pièces jointes, quel que soit leur format.
Kaspersky Security distingue différents types d'objets : un objet simple (corps de message, pièce jointe simple, par exemple sous la forme d'un fichier exécutable) et un objet conteneur (composé de plusieurs objets, par exemple une archive, un message avec un message joint).
Lors de l'analyse d'archives multivolume, chaque volume est traité par l'application comme un objet séparé. Dans cas, l'Antivirus peut découvrir le code malveillant uniquement s'il est contenu entièrement dans un de ces volumes. Si le code malveillant est également scindé en plusieurs parties lors du chargement partiel des données, il ne sera pas détecté dans le cadre de l'analyse. La propagation d'un code malveillant après le rétablissement de l'intégrité de l'objet reste alors une possibilité. Les archives multivolumes peuvent être analysées après l'enregistrement sur le disque par l'application antivirus installée sur l'ordinateur de l'utilisateur.
Le cas échéant, vous pouvez définir une liste d'objets qui ne seront pas soumis à l'analyse antivirus. Il est possible d'exclure de l'analyse les archives, tous les conteneurs supérieurs au niveau d'imbrication défini, les fichiers selon un masque de nom et les messages adressés à des destinataires particuliers.
Les fichiers dont la taille est supérieure à 1 Mo sont enregistrés pour le traitement dans le dossier de service store situé dans le dossier data de conservation des données de l'application. Le dossier data contient également le référentiel de fichiers temporaires, le dossier tmp. Il faut exclure les dossiers store et tmp de l'analyse réalisée par des logiciels tournant sur des ordinateurs dotés d'un serveur Microsoft Exchange.
Au terme de l'analyse de l'Antivirus, l'un des états suivants est attribué à chaque message :
Si le message ou une partie de celui-ci est infecté, l'Antivirus traite l'objet malveillant détecté conformément aux paramètres définis.
Dans les paramètres de l'Antivirus, vous pouvez configurer des actions exécutées par l'application sur les messages contenant des objets malveillants. Les actions suivantes peuvent être configurées :
Lors de la suppression d'un objet malveillant sur un serveur Microsoft Exchange, le message ou la pièce jointe contenant l'objet malveillant est remplacé par un fichier texte qui reprend le nom de l'objet malveillant, la date d'édition des bases qui ont permis de détecter l'objet et le nom du serveur Microsoft Exchange sur lequel l'objet a été détecté.
Avant le traitement par l'Antivirus, une copie de l'élément peut être enregistrée dans la sauvegarde.
L'Antivirus est constitué de deux modules : Antivirus pour le rôle serveur de transport Hub et Antivirus pour le rôle serveur de boîtes aux lettres.
Antivirus pour le rôle Serveur de transport Hub
L'Antivirus pour le rôle Serveur de transport Hub analyse en temps réel tous les messages qui arrivent sur le serveur Microsoft Exchange. Il traite le trafic de messagerie entrant et sortant, ainsi que le trafic des messages en transit. Si la protection antivirus du serveur est activée, le lancement et l'arrêt de l'analyse du trafic de messagerie s'opèrent en même temps que le lancement et l'arrêt du serveur Microsoft Exchange.
Antivirus pour le rôle serveur de boîtes aux lettres
L'Antivirus pour le rôle Serveur de boîtes aux lettres recherche la présence de virus et d'autres menaces informatiques dans les messages et les autres éléments Microsoft Exchange qui se trouvent dans la boîte aux lettres des utilisateurs de l'entreprise et dans les dossiers publics.
La protection de l'Antivirus pour le rôle serveur de boîtes aux lettres s'étend à toutes les boîtes aux lettres et à tous les dossiers publics qui se trouvent dans les banques de boîtes aux lettres à protéger et dans les banques de dossiers publics à protéger. Vous pouvez activer et désactiver la protection de l'Antivirus individuellement pour des banques de boîtes aux lettres et des banques de dossiers publics.
Sur les serveurs de messagerie Microsoft Exchange 2013 et Microsoft Exchange 2016, il n'y a pas de banque de dossiers publics. Sur ces serveurs de messagerie, les boîtes aux lettres et les dossiers publics se trouvent dans les banques publiques.
Si l'utilisateur dont les boîtes aux lettres sont protégées crée des messages dans les dossiers partagés de serveurs non protégés Microsoft Exchange, Kaspersky Security n'analyse pas ces messages. Quand un message est transféré depuis les Dossiers publics d'une banque non protégée vers une banque protégée, il est analysé par l'application. Lors de la réplication des données entre des banques protégées et non protégées, les modifications introduites par l'application suite à l'analyse antivirus ne sont pas synchronisées.
A propos de la prévention des retards occasionnés par l'Antivirus
Dans de rares cas de dysfonctionnement du noyau antivirus, la durée d'analyse des messages par l'Antivirus peut augmenter considérablement. Pour éviter les retards de messages, l'Antivirus passe alors temporairement en mode de fonctionnement restreint. Avec ce mode, certains messages peuvent être ignorés et ne pas faire l'objet de recherche de virus.
Si votre ordinateur est doté d'une application qui collecte et envoie les informations pour le traitement, l'application Kaspersky Security peut classer ce programme comme malveillant. Pour éviter cela, vous pouvez exclure cette application de l'analyse, en configurant l'application Kaspersky Security de la manière décrite dans ce document.