(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Antispamverbesserungen in Exchange Server 2003 Service Pack 2

 

Letztes Änderungsdatum des Themas: 2006-04-05

In der Geschäftswelt ist ein zuverlässiges, effektives und stabiles E-Mail-System ein wichtiger Erfolgsfaktor. Zur Gesunderhaltung Ihres Unternehmens ist es unerlässlich, die Integrität und Effizienz des E-Mail-Systems zu wahren, jedoch hat sich in den letzten Jahren das Aufkommen von unerwünschten Werbe-E-Mails, auch Spam genannt, in einem solchen Maße vervielfacht, dass sich diese Aufgabe für IT-Experten zunehmend schwierig gestaltet.

In der 2004 von Microsoft® angekündigten Coordinated Spam Reduction Initiative (in englischer Sprache) ist eine klar definierte Roadmap und Technologieinfrastruktur zur Verringerung des Spamaufkommens dargelegt.

Es muss zwischen der Eindämmung des Spamproblems und dem vollständigen Ausmerzen von Spam unterschieden werden. Es wird noch sehr lange dauern, bis es kein Spam mehr gibt. Einstweilen müssen wir uns darauf einstellen, dass Spam und legitime Mails noch lange parallel existieren werden, und uns folglich mit der Frage befassen, wie das Aufkommen von Spam reduziert werden kann und negative Folgen vermieden werden können.

In diesem Artikel beschreibe ich den verbesserten aktiven Nachrichtenschutz und die Antispamverbesserungen in Microsoft Exchange Server 2003 Service Pack 2 (SP2). Der Begriff aktiver Nachrichtenschutz wird in diesem Artikel als Oberbegriff für die Features von Exchange Server 2003 SP2 verwendet, die in der Messagingumgebung zur Spambekämpfung bereitgestellt werden.

Exchange Server 2003 SP2 stellt einen wichtigen Schritt in Richtung der Eindämmung der Spamflut dar. Sehen wir uns die einzelnen Features genauer an.

Sender ID   Mit Exchange Server 2003 SP2 wird die lange erwartete Technologie der Sender ID-Filterung bereitgestellt, die in erster Linie auf gefälschte E-Mail-Adressen abzielt. Durch die Eliminierung von gefälschten Nachrichten, so genannten Spoof-E-Mails, wird der eingehende E-Mail-Datenverkehr in der Exchange-Organisation sofort spürbar reduziert. Vorläufige Daten der internen IT-Abteilung bei Microsoft zeigen, dass durch die Aktivierung des Sender ID-Filters netto rund 10 % mehr Spam abgefangen werden konnte, bevor die E-Mails zur weiteren Antispamverarbeitung an den intelligenten Nachrichtenfilter für Exchange weitergeleitet wurden. Es ist wichtig, dass Spoof-E-Mails am Gateway abgefangen werden, da durch die Reduzierung des eingehenden E-Mail-Datenverkehrs in der Exchange-Organisation die Bandbreitenauslastung verringert wird und kein Mehraufwand durch die Verarbeitung dieser Nachrichten in der internen E-Mail-Infrastruktur entsteht.

Intelligenter Nachrichtenfilter   Eine zweite wichtige Neuerung bei den Antispamfeatures von Exchange Server 2003 ist die Einbindung der Microsoft SmartScreen™-Technologie in Form des intelligenten Nachrichtenfilters. Zuvor war der intelligente Nachrichtenfilter nur als Add-In-Tool verfügbar. Nun ist er ein wichtiger Bestandteil von Exchange Server 2003. Der intelligente Nachrichtenfilter enthält aktualisierte Spammerkmale, die eine verbesserte Blockierung von Spam ermöglichen. Und zusätzlich bietet der intelligente Nachrichtenfilter auch Schutz vor Phishing.

Verbindungsfilterung hinter dem Umkreisnetzwerk   Die Verbindungsfilterung wurde in Exchange Server 2003 eingeführt, war jedoch nur im Umkreisnetzwerk verwendbar. Da sich die meisten Server mit Exchange Server 2003 hinter dem Umkreisnetzwerk befinden, konnte die Verbindungsfilterung nicht verwendet werden. In Exchange Server 2003 SP2 kann die Verbindungsfilterung nicht nur im Umkreisnetzwerk, sondern auch dahinter verwendet werden. Sie können nun uneingeschränkt vom verbesserten aktiven Nachrichtenschutz und von den Antispamverbesserungen profitieren, und zwar unabhängig davon, wo der Exchange-Server bereitgestellt wird.

Bevor Sie Sender ID auf einem Server mit Exchange Server 2003 SP2 aktivieren, stellen Sie sicher, dass der Microsoft Windows Server™ 2003-Hotfix angewendet wird, auf den im Microsoft Knowledge Base-Artikel 905214, Windows Server 2003 reagiert möglicherweise nicht mehr, wenn Sie in Exchange Server 2003 SP2 auf einem virtuellen SMTP-Server die Einstellung "Absender-ID-Filterung" aktivieren, verwiesen wird.

noteAnmerkung:
Wenn Sie Microsoft Windows® 2000 Server verwenden, wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten. Windows 2000 Server ist nur im erweiterten Supportmodus verfügbar.

Sender ID zielt auf eine der gängigsten und irreführendsten Methoden ab, derer sich Absender von Spam bedienen, nämlich das Fälschen von Domänen (Spoofing). Dabei wird vom Absender einer Nachricht ein fremder Domänenname verwendet. Das Fälschen von Domänen fällt in den größeren Problembereich des Spoofings, also des Fälschens der Absenderadresse in E-Mail-Nachrichten. Gefälschte Domänen können auch von böswilligen Personen für betrügerische Phishing-Versuche verwendet werden, bei denen Verbraucher dazu verleitet werden sollen, vertrauliche persönliche Informationen preiszugeben, indem vorgetäuscht wird, die E-Mail stamme aus einer vertrauenswürdigen Quelle, z. B. von der Bank des betreffenden Verbrauchers. Die Offenlegung solcher Informationen kann zu Identitätsdiebstahl und sonstigem Onlinebetrug führen.

Sender ID ist ein E-Mail-Authentifizierungsprotokoll, mit dem die Herkunft einer E-Mail überprüft und verhindert wird, dass gefälschte E-Mails in eine Exchange-Organisation gelangen. Vereinfacht dargestellt, wird von Sender ID eine Frage gestellt: "Ist diese E-Mail-Nachricht gefälscht?" Wenn die Antwort "Ja, sie ist gefälscht" lautet, wird die Nachricht vom Sender ID-Filter sofort zurückgewiesen oder gelöscht. Lautet die Antwort hingegen "Nein, die Authentizität des Absenders kann bestätigt werden", wird der Nachricht ein Sender ID-Status zugewiesen, und sie wird zur weiteren Antispamverarbeitung an den intelligenten Nachrichtenfilter weitergeleitet, sofern dieser auf dem Server aktiviert ist.

Wie genau funktioniert Sender ID also? Die Sender ID-Funktionalität beruht zum Teil auf einem Algorithmus, der im Sender ID-Filter implementiert ist und die PRA (Purported Responsible Address) erkennt. PRA ist die E-Mail-Adresse der Entität, die zuletzt für den Eingang einer Nachricht im E-Mail-System verantwortlich war. Der Sender ID-Filter ermittelt die tatsächliche E-Mail-Domäne, indem die erste Definition der folgenden Nachrichtenkopfzeilen nach RFC2822 in der angegebenen Reihenfolge gesucht wird:

  1. Resent-Sender
  2. Resent-From
  3. Sender
  4. From

Wenn keine dieser Kopfzeilen gefunden wird, verwendet der Sender ID-Filter den Wert STMP RFC 2821 MAIL FROM.

04762cf2-b778-462f-b494-2bbc796d7e50

Bei der in Abbildung 1 dargestellten Sender ID-Überprüfung werden folgende Schritte ausgeführt:

  1. Ein Absender sendet eine E-Mail-Nachricht an den Empfänger.
  2. Der Posteingangsserver des Empfängers empfängt die E-Mail-Nachricht und extrahiert die PRA.
  3. Der Posteingangsserver überprüft, von welcher Domäne die Nachricht angeblich gesendet wurde, und sucht in DNS (Domain Name System) nach dem SPF-Eintrag (Sender Policy Framework) für die Domäne. Die SPF-Einträge dienen zur Identifizierung autorisierter Postausgangsserver. Der Eingangsserver überprüft, ob die IP-Adresse des sendenden E-Mail-Servers einer der im SPF-Eintrag veröffentlichten IP-Adressen entspricht. Weitere Informationen zum Inhalt und zum Erstellen eines SPF-Eintrags finden Sie unter Sender ID (in englischer Sprache).
  4. Wenn die IP-Adressen übereinstimmen, wird die E-Mail-Nachricht authentifiziert und dem Empfänger zugestellt. Wenn die IP-Adressen nicht übereinstimmen, wird die E-Mail-Nachricht nicht authentifiziert und nicht zugestellt.

Anhand des Ergebnisses der Sender ID-Überprüfung wird jede Nachricht mit einem Sender ID-Status gekennzeichnet. Dieser Status wird vom intelligenten Nachrichtenfilter berücksichtigt, um eine abschließende SCL-Bewertung zuzuweisen, vorausgesetzt, der intelligente Nachrichtenfilter ist auf dem Server aktiviert. Der Status ist auch als Ausgabe des Sender ID-Filters verfügbar.

Der Sender ID-Status spiegelt die Ergebnisse der Sender ID-Filterung wider. Folgende Sender ID-Statusangaben sind möglich:

  • Pass   Die IP-Adresse für die PRA befindet sich unter den zugelassenen Adressen in DNS.
  • Neutral   Die veröffentlichten Sender ID-Daten sind explizit nicht eindeutig.
  • Softfail   Mit diesem Wert wird ein weniger schwerwiegender Fehler angegeben. Die IP-Adresse befindet sich möglicherweise nicht unter den zugelassenen Adressen in DNS.
  • Fail   Die IP-Adresse befindet sich nicht unter den zugelassenen Adressen in DNS.
  • None   Es sind keine veröffentlichten Daten verfügbar.
  • TempError   Es liegt ein vorübergehender Fehler vor, z. B. ein nicht verfügbarer DNS-Server.
  • PermError   Es liegt ein nicht zu behebender Fehler vor, z. B. ein Fehler im Datensatzformat.

Mitunter fehlt in einer eingehenden Nachricht die IP-Adresse für FROM, z. B. bei einer falschen Konfiguration der Betriebssystemumgebung. Dann kann der Sender ID-Status nicht festgelegt werden. In diesem Fall wird die Verarbeitung der Nachricht fortgesetzt, ohne dass der E-Mail-Nachricht ein Sender ID-Status zugewiesen wird.

Dem Systemmonitor ist ein neues Leistungsobjekt mit dem Namen MSExchange Sender ID hinzugefügt worden. Dieses enthält Indikatoren, die den oben beschriebenen Sender ID-Statusangaben entsprechen. Die folgenden Indikatoren sind für den Sender ID-Filter verfügbar:

  • Total DNS Queries
  • Total Messages Missing Originating IP
  • Total Messages Validated by Sender ID
  • Total Messages Validated with a Fail – Malformed Domain Result
  • Total Messages Validated with a Fail – Non-existent Domain Result
  • Total Messages Validated with a Fail – Not Permitted Result
  • Total Messages Validated with a Neutral Result
  • Total Messages Validated with a None Result
  • Total Messages Validated with a PermError Result
  • Total Messages Validated with a Pass Result
  • Total Messages Validated with a SoftFail result
  • Total Messages Validated with a TempError Result
  • Total Messages with no PRA

Der Sender ID-Filter weist E-Mails nur zurück oder löscht sie, wenn die Überprüfung mit dem Status Fail erfolgreich abgeschlossen wurde. In allen anderen Fällen wird die E-Mail zur weiteren Antispamverarbeitung an den intelligenten Nachrichtenfilter, sofern dieser aktiviert ist, oder an das Postfach des Empfängers weitergeleitet.

In Exchange Server 2003 SP2 steht eine Benutzeroberfläche zur Verwaltung von Sender ID zur Verfügung. Die neue Oberfläche für den Sender ID-Filter finden Sie im Exchange-System-Manager. Wählen Sie dort nacheinander Globale Einstellungen, Nachrichtenübermittlung und Eigenschaften aus, und klicken Sie dann auf die Registerkarte Absender-ID-Filter.

Sie können den Sender ID-Filter für die Verarbeitung eingehender E-Mail-Nachrichten in drei verschiedenen Modi konfigurieren. Die Standardkonfiguration ist der Modus Accept.

  • Delete   Die E-Mail-Nachricht wird gelöscht, und an den Absender wird ein Unzustellbarkeitsbericht (NDR) gesendet.
  • Reject   Die E-Mail-Nachricht wird während der SMTP-Transaktion zurückgewiesen.
  • Accept   Der E-Mail-Nachricht wird ein Sender ID-Status für die weitere Antispamverarbeitung zugewiesen. 

Es ist wichtig zu verstehen, dass E-Mails vom Sender ID-Filter nur gelöscht oder zurückgewiesen werden, wenn sie die Sender ID-Überprüfung nicht bestanden haben. Daher werden vom Sender ID-Filter nur Spoof-E-Mails gelöscht oder zurückgewiesen. Allen anderen E-Mails wird ein Sender ID-Status zugewiesen, und sie werden für die weitere Antispamverarbeitung weitergeleitet.

Wenn der Sender ID-Filter mit dem Standardmodus Accept konfiguriert ist, wird einer E-Mail-Nachricht einfach der Sender ID-Status zugewiesen, auch wenn es sich offensichtlich um eine Spoof-E-Mail handelt. Der Sender ID-Status wird an den intelligenten Nachrichtenfilter weitergeleitet und löst eine entsprechende Änderung der SCL-Bewertung (Spam Confidence Level) aus. Wenn für den angeblichen Absender in DNS keine SPF-Einträge konfiguriert sind, weist der Sender ID-Filter E-Mail-Nachrichten von der Absenderorganisation nicht zurück.

Der Schlüssel zu einer erfolgreichen Implementierung von Sender ID ist die richtige Filterkonfiguration. Ich kann gar nicht genug betonen, wie wichtig es ist, präzise Konfigurationsinformationen zur Messaginginfrastruktur bereitzustellen. Damit Sender ID ordnungsgemäß funktioniert, müssen Sie die IP-Adresse jedes Servers in der Organisation angeben, der E-Mails weiterleiten kann. Aus diesem Grund müssen sie sowohl den internen IP-Adressbereich als auch die Liste statischer IP-Adressen konfigurieren, über die eingehende E-Mails aus dem Internet verarbeitet werden. Wenn sich die E-Mail-Server, von denen eingehende E-Mails verarbeitet werden, im internen IP-Adressbereich befinden, müssen Sie keine Liste statischer IP-Adressen angeben.

Der Sender ID-Filter wird unter Globale Einstellungen auf der Seite Eigenschaften für Nachrichtenübermittlung konfiguriert, jedoch muss der Sender ID-Filter auf der Ebene des virtuellen SMTP-Servers angewendet werden. Wenn Sie den Sender ID-Filter nicht für die entsprechende Instanz des virtuellen SMTP-Servers (VSI) aktivieren, funktioniert er nicht.

Weitere Informationen zur Bereitstellung von Sender ID finden Sie unter Sender ID Framework Deployment Overview (in englischer Sprache).

Weitere Informationen zum Veröffentlichen von SPF-Einträgen finden Sie unter Sender ID Framework SPF Record Wizard (in englischer Sprache).

Weitere Informationen zu Sender ID und zusätzliche Ressourcen finden Sie unter Sender ID (in englischer Sprache).

In Exchange Server 2003 SP2 ist der intelligente Nachrichtenfilter mit integriertem Schutz vor Phishing ausgestattet und unterstützt die benutzerdefinierte Gewichtung.

Die Funktion für den Schutz vor Phishing in Exchange Server 2003 SP2 ist für den Endbenutzer völlig transparent. Die entsprechende Technologie ist vollständig in das Modul des intelligenten Nachrichtenfilters integriert. Alle eingehenden E-Mails werden zunächst auf betrügerische Phishing-Versuche untersucht, und je nach dem Ergebnis wird jeder E-Mail ein PCL-Wert (Phishing Confidence Level) zugewiesen. Dieser PCL-Wert löst die Zuweisung des endgültigen SCL-Werts aus.

Eine weitere neue Funktion ist die so genannte benutzerdefinierte Gewichtung. Anhand der benutzerdefinierten Gewichtung können Administratoren das Verhalten des intelligenten Nachrichtenfilters auf Basis von Textzeichenfolgen im E-Mail-Nachrichtentext und in den Kopfzeilen anpassen. Die benutzerdefinierte Gewichtung ist in Form einer XML-Konfigurationsdatei verfügbar, die während der Initialisierung des intelligenten Nachrichtenfilters gelesen und bei Änderungen an der XML-Konfigurationsdatei immer neu geladen wird. Auf die benutzerdefinierte Gewichtung kann nicht über die Benutzeroberfläche zugegriffen werden.

Die benutzerdefinierte Gewichtung wird nicht während der Installation von Exchange Server 2003 SP2 erstellt. Daher müssen Sie sie manuell erstellen und im Standardordner für Dateien des intelligenten Nachrichtenfilters ablegen: <Pfad der Binärdateien von Exchange Server>\MSCFv2\

noteAnmerkung:
In diesem Pfad entspricht <Pfad der Binärdateien von Exchange Server> dem Pfad des Ordners bin.

Das folgende Beispiel zeigt eine benutzerdefinierte Gewichtungsdatei:

<?xml version="1.0" encoding="UTF-16"?>
<CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">
     <CustomWeightEntry Type="SUBJECT" Change="1" Text="foo1"/>
     <CustomWeightEntry Type="BODY" Change="-1" Text="foo2"/>
     <CustomWeightEntry Type="BODY" Change="5" Text="Special offer"/>
     <CustomWeightEntry Type="BODY" Change="-9" Text="Verlängertes Angebot"/>
     <CustomWeightEntry Type="BOTH" Change="MAX" Text="Offre spéciale"/>
</CustomWeightEntries>

In der folgenden Tabelle sind die Werte der einzelnen Einträge in der benutzerdefinierten Gewichtungsdatei aufgeführt:

 

Wert Beschreibung

Type= BODY

Sucht im angezeigten Text einer Nachricht nach Übereinstimmungen.

Type= SUBJECT

Sucht im angezeigten Betreff einer Nachricht nach Übereinstimmungen.

Type= BOTH

Sucht sowohl im Betreff als auch im Text einer Nachricht nach Übereinstimmungen.

Change

Definiert die Auswirkungen der in einer E-Mail-Nachricht gefundenen Übereinstimmungen auf den SCL-Wert der Nachricht. Bei Change kann es sich um einen beliebigen ganzzahligen Wert handeln. Wenn der Satzteil übereinstimmt, wird die Änderung dem ursprünglichen SCL-Wert hinzugefügt. SCL-Werte werden auf einen Bereich von 0 bis 9 normalisiert, wenn sie diesen Bereich aufgrund von benutzerdefinierten Gewichtungen überschreiten. Der Wert Change kann die Schlüsselwörter MIN oder MAX verwenden. Wenn ein Satzteil mit dem Schlüsselwort MIN gefunden wird, wird der Nachricht der SCL-Wert 0 (Null) zugewiesen, ohne dabei die anderen Gewichtungen zu berücksichtigen. Wenn ein Satzteil mit dem Schlüsselwort MAX gefunden wird, wird der Nachricht der SCL-Wert 9 zugewiesen, ohne dabei die anderen Gewichtungen zu berücksichtigen. Wenn für eine E-Mail-Nachricht Übereinstimmungen mit den Schlüsselwörtern MIN und MAX gefunden werden, wird der Nachricht der SCL-Wert 0 (Null) zugewiesen.

Text

Die benutzerdefinierte Gewichtung kann Unicode-Satzteile von bis zu 1.000 Zeichen akzeptieren.

Dank des verbesserten aktiven Nachrichtenschutzes und der Antispamverbesserungen in Exchange Server 2003 können Administratoren eine mehrschichtige End-to-End-Antispamlösung erstellen, um ihre Exchange-Organisation besser vor Spam zu schützen.

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.