Nach dem heutigen Jahreswechsel streiken weltweit zahlreiche Exchange-Server, weil die FIP-FS-Scan-Engine gegen Malware die Jahreszahl 2022 nicht korrekt verarbeitet. Emails werden dann nicht mehr zugestellt. Es gibt aber einen temporären Workaround.
Der Administratoren von selbst gehosteten Exchange Server-Systemen (On-Premises-Server), waren zum Beginn des Neujahrstages um genau Mitternacht gefordert: Plötzlich konnten viele Exchange Server keine Emails mehr zustellen.
Problemursache: Das Konvertieren des Datums 2022
Beim Konvertieren des Werts “2201010001” in einen Long-Integer-Wert erzeugt die Anti-Malware Scan Engine einen Fehler, so dass der entsprechende Prozess danach nicht mehr geladen werden kann.
Zu dem Fehler werden unter der PID 10816 die Fehlercodes 0x80004005 und und die Fehlerbeschreibung “Kann “2201010002” nicht in Long konvertieren” in die Logdateien geschrieben.
Das Problem scheint unter diversen Exchange Server-Versionen und bei unterschiedlichen Patchständen aufzutreten. Es sind aber wohl nicht alle On-Premises (selbst gehosteten) Exchange Server betroffen, weshalb man vermutet, dass auf nicht betroffenen Systemen der Anti-Malware-Scan oder die Email-Filterung nicht aktiv ist.
Schneller Workaround: Antimalware-Scanning deaktivieren
Zum Exchange Server gehört auch das PowerShell-Script „Disable-AntiMalwareScanning.ps1“, das die Scan Engine deaktiviert. Als funktionierender temporärer Workaround ist die Ausführung dieses Scripts zu empfehlen. Einige Admins mussten nach der Ausführung des Scripts den Transport-Dienst oder den kompletten Exchange-Server neu starten.
Alternativ kann man auch den nachstehenden PowerShell-Befehl benutzen, um die Filterung der Emails zeitweilig außer Kraft zu setzen:
Set-MalwareFilteringServer exch-19 -BypassFiltering $true
Auch nach diesem Befehl muss anschließend der Transport-Dienst neu gestartet werden.
Microsoft selbst hat inzwischen auch einige Informationen zu diesem Themenbereich in dem Beitrag “Disable or bypass anti-malware scanning” zusammengestellt.