Y2K22-Bug stoppt Exchange-Mailzustellung: Antimalware-Engine stolpert über 2022
Zum Jahreswechsel streiken weltweit zahlreiche Exchange-Server, weil die FIP-FS-Scan-Engine sich an der Jahreszahl verhebt. Immerhin gibt es temporäre Abhilfe.
Administratoren von On-Premises Exchange Server-Systemen, die zum Jahreswechsel Bereitschaft hatten, wurden um Mitternacht (genauer gesagt: am 1.1.2022, 00:00 UTC) aufgeschreckt. Denn plötzlich konnten viele Exchange Server keine Mails mehr transportieren. Eine Nachricht dazu, die auch auf die Ursache verwies, verbreitete sich rasch auf Twitter.
Konvertieren des Datumswerts geht schief
Die Anti-Malware Scan Engine läuft beim Konvertieren des Werts "2201010001" in einen Long-Integer-Wert auf einen Fehler, so dass der betreffende Prozess nicht mehr geladen werden kann. Julian Sieber vermutet in einem Techcommunity-Kommentar vom 31. Dezember 2021, dass es bei der Konvertierung des Strings in einen signed Integer-Wert zu einem Überlauf komme. Dann werden unter der PID 10816 die Fehlercodes 0x80004005 und sowie die Fehlerbeschreibung Kann "2201010002" nicht in Long konvertieren
in die Protokolldateien geschrieben.
Im Blog des Autors dieses Beitrags meldeten sich zahlreiche Betroffene, wobei sich das Bild ergab, dass das Problem unter diversen Exchange Server-Versionen und unterschiedlichen Patchständen auftritt. Allerdings sind wohl nicht alle On-Premises Exchange Server betroffen – die Vermutung geht dahin, dass auf nicht betroffenen Systemen der Anti-Malware-Scan oder Mail-Filterung nicht aktiv ist.
Workaround: Antimalware-Scanning deaktivieren
Für Exchange Server gibt es ein PowerShell-Script Disable-AntiMalwareScanning.ps1
, welches die Scan Engine deaktiviert. Als temporärer Workaround bietet sich die Ausführung dieses Scripts an. Danach mussten einige Nutzer den Transport-Dienst oder sogar den Exchange-Server neu starten.
Alternativ lässt sich der nachfolgende PowerShell-Befehl einsetzen, um die Filterung der Mails temporär außer Kraft zu setzen:
Set-MalwareFilteringServer exch-19 -BypassFiltering $true
Auch hier muss der Transport-Dienst im Anschluss wohl neu gestartet werden. Ein weiterer Leser hat dem Autor dieses Beitrags in einer privaten Meldung auf Facebook mitgeteilt, dass nach Ausführung des Befehls Get-TransportAgent "Malware Agent" | Disable-TransportAgent
der Mail-Empfang und das Senden unter Exchange Server 2016 mit neuestem Cumulative Update auch wieder funktioniere. Microsoft hat einige Informationen zu diesem Themenfeld im Beitrag "Disable or bypass anti-malware scanning" zusammen getragen.
Im Blog des Autors gibt es inzwischen einen Nutzerkommentar, dass Microsoft bereits ein Signatur-Update zum Beheben des Problems freigegeben habe. Allerdings melden andere Administratoren, dass dies das Problem nicht behebe. Eine offizielle Stellungnahme von Microsoft steht bislang noch aus.
Lesen Sie dazu auch:
Microsoft liefert weiteren Fix für Exchange-Y2K22-Bug
(tiw)