Tags: Exchange, Windows Server 2016, Patch-Management, Malware
Microsoft weist seine Kunden darauf hin, dass die Edge-Rolle von Exchange 2016 seit dem Update KB4013429 für Windows Server 2016 auf dieser OS-Version Probleme bereitet. Nachdem der Hersteller die Filter-Updates für Smartscreen schon im letzten November eingestellt hat, beendet er nun kurzerhand den Support für die Edge-Rolle unter Server 2016.
Microsoft Exchange bringt bis dato seinen eigenen Viren- und Spamschutz mit. Bei der Installation wird bereits danach gefragt, ob die Prüfung auf Schad-Software deaktiviert werden soll. Standard ist ein eingeschalter Schutz.
Anwender sollen Cloud-Service nutzen
Allerdings hat sich Microsoft auch hier strategisch auf die Cloud festgelegt. Bereits 2012 stellte es Forefront Protection 2010 for Exchange Server ein, mit dem Firmen ihre Mails im eigenen Rechenzentrum durch mehrere Antivirus-Engines parallel prüfen konnten.
Dem folgte nun im November 2016 das Aus für die Filter-Updates von Smartscreen. Das Feature selbst ist weiterhin Bestandteil der aktuellen Versionen von Outlook und Exchange und bietet auf Basis der alten Filter noch einen gewissen Schutz. Microsofts Empfehlung lautet jedoch, auf Exchange Online Protection (EOP) oder die Lösung eines Drittanbieters auszuweichen.
Verzicht auf KB4013429 ist keine Lösung
Das aktuelle Problem mit dem Update KB4013429 beschleunigt den Abschied vom Exchange-eigenen Spam-Filter, weil es dafür keine befriedigende Lösung gibt. Selbst wenn man auf die Installation des Updates verzichtet, was aufgrund des kumulativen Charakters der Updates für Server 2016 auf Dauer kaum möglich ist, kommt man dem Problem nicht aus.
In diesem Fall scheitert die Deinstallation von Exchange, wenn man einen Server vom Netz nehmen möchte. Der Grund dafür ist ein Registry-Konflikt zwischen den Content-Filtern, die jeweils mit Windows und Exchange ausgeliefert werden.
Spam-Filter unter Server 2016 nicht mehr einsetzbar
Diese Inkompatibilität wirkt sich noch gravierender aus, wenn man das besagte Update installiert und den Filter-Agent auf dem Exchange Server 2016 aktiviert. Dies führt zum Absturz des Transportdienstes.
Da der Spam-Filter auf der Edge-Rolle automatisch aktiviert wird und es keine verlässliche Methode gibt, ihn dort abzuschalten, zieht Microsoft die Notbremse und stellt diesem TechNet-Blog zufolge den Support für den Edge-Server in Exchange 2016 auf Windows Server 2016 ein.
Wer den mit Exchange mitgelieferten Spam-Filter weiterhin on Premise einsetzen will, muss die Edge-Rolle unter einer älteren Version von Windows Server betreiben, wo Microsoft noch weiterhin Unterstützung gewährt.
Content-Filter auf Mailbox-Server abschalten
Die beschriebenen Schwierigkeiten mit dem KB4013429 treten aber auch auf, wenn man den Content-Filter direkt auf einem Mailbox-Server aktiviert hat. Hier besteht allerdings die Möglichkeit, den Spam-Schutz abzuschalten.
Dafür öffnet man die Exchange Management Shell und ruft aus dem Installationsverzeichnis von Exchange folgendes Script auf:
.\Scripts\Disable-Antimalwarescanning.ps1
Anschließend sollte man den Transportdienst des Exchange Servers neu starten, beispielsweise über services.msc.
Mit dem Befehl
Get-TransportAgent "Malware Agent"
können Sie nun prüfen, ob das Feature wirklich deaktiviert wurde.
Das Kommando muss hier für die Eigenschaft Enabled der Wert False zurückgegeben.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Juli-Update KB4338814 für Windows Server verursacht Probleme mit Exchange
- Microsoft ersetzt fehlerhafte Exchange Security Updates (SUs) für August
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Microsoft ändert Empfehlung für Virenscanner-Ausschlüsse auf Exchange Server
- Exchange 2019 CU13 erst in H1 2023, Aus für Basic Auth for Autodiscover
Weitere Links