Grundlegendes zu Antispamstempeln

  • Artikel

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2010-01-28

In Microsoft Exchange Server 2010 unterstützen Antispamstempel das Analysieren spambezogener Probleme durch das Anwenden von Diagnosemetadaten oder "Stempeln" (z. B. absenderspezifische Daten, Ergebnisse der Rechenrätselüberprüfung und Ergebnisse der Inhaltsfilterung) auf Nachrichten, während diese die Antispamfunktionen durchlaufen, die eingehende Nachrichten aus dem Internet filtern. Es gibt drei Antispamstempel: PCL-Stempel (Phishing Confidence Level), SCL-Stempel (Spam Confidence Level) und Sender ID-Stempel.

In diesem Thema werden die Anzeige von Antispamstempeln und die verschiedenen Antispamstempel beschrieben:

Sie können Antispamstempel als Diagnosetools verwenden, um zu ermitteln, welche Maßnahmen bei falsch positiven Ergebnissen und bei unter Spamverdacht stehenden Nachrichten zu ergreifen sind, die Personen in ihren Postfächern erhalten.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Transportservern gibt? Informationen hierzu finden Sie unter Verwalten von Transportservern.

Anzeigen von Antispamstempeln

Sie können Antispamstempel mithilfe von Microsoft Office Outlook 2007 anzeigen. Weitere Informationen zum Anzeigen von Antispamstempeln finden Sie unter Anzeigen von Antispamstempeln in Outlook 2007.

Grundlegendes zum Antispambericht

Der Antispambericht ist ein Zusammenfassungsbericht der Ergebnisse der Antispamfilter, die auf eine E-Mail-Nachricht angewendet wurden. Der Inhaltsfilter-Agent wendet diesen Stempel auf den Nachrichtenumschlag in Form einer X-Kopfzeile wie folgt an:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance

In der folgenden Tabelle sind die Filterinformationen beschrieben, die in einem Antispambericht angezeigt werden können.

Hinweis

Der Antispambericht zeigt nur Informationen der Filter an, die auf die bestimmte Nachricht angewendet wurden. Ein Antispambericht enthält in der Regel nicht alle in der folgenden Tabelle aufgeführten Informationen. Sie können beispielsweise den folgenden Antispambericht erhalten: DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Filterinformationen in einem Antispambericht

Stempel Beschreibung

SID

Der Sender ID-Stempel (SID) basiert auf dem SPF (Sender Policy Framework), das die Verwendung von Domänen in E-Mails autorisiert. Das SPF wird im Nachrichtenumschlag als Received-SPF angezeigt. Der Auswertungsvorgang der Sender ID generiert einen Sender ID-Status für die Nachricht. Dieser Status kann als einer der folgenden Werte zurückgegeben werden:

  • Pass   Die IP-Adresse und die PRA (Purported Responsible Address) haben die Sender ID-Überprüfung bestanden.
  • Neutral   Die veröffentlichten Sender ID-Daten sind explizit nicht eindeutig.
  • Soft fail   Die IP-Adresse für die PRA ist möglicherweise im Nicht-Berechtigungssatz enthalten.
  • Fail   Die IP-Adresse ist nicht zugelassen, in der eingehenden E-Mail wurde keine PRA gefunden, oder die Absenderdomäne ist nicht vorhanden.
  • None   Es sind keine veröffentlichten SPF-Daten (Sender Policy Framework) im DNS des Absenders vorhanden.
  • TempError   Es liegt ein vorübergehender DNS-Fehler vor, z. B. ein nicht verfügbarer DNS-Server.
  • PermError   Der DNS-Datensatz ist ungültig, z. B. ein Fehler im Datensatzformat.

Der Sender ID-Stempel wird wie folgt als X-Kopfzeile im Nachrichtenumschlag angezeigt:

X-MS-Exchange-Organization-SenderIdResult:<status>

Weitere Informationen zur Sender ID finden Sie unter Grundlegendes zur Sender ID.

DV

Der Stempel "DAT-Version (DV)" kennzeichnet die Version der Spamdefinitionsdatei, die beim Überprüfen dieser Nachricht verwendet wurde.

SA

Der SA-Stempel (Signature Action) gibt an, dass die Nachricht aufgrund einer in der Nachricht gefundenen Signatur entweder wiederhergestellt oder gelöscht wurde.

SV

Der SV-Stempel (Signature DAT Version) kennzeichnet die Version der Signaturdatei, die beim Überprüfen der Nachricht verwendet wurde.

PCL

Der PCL-Stempel zeigt die Bewertung der Nachricht auf Grundlage des Inhalts an. Er wird angewendet, wenn die Nachricht vom Inhaltsfilter-Agent verarbeitet wird. Dieser Status kann als einer der folgenden Werte zurückgegeben werden:

  • Neutral   Der Inhalt der Nachricht wird wahrscheinlich nicht zum Phishing genutzt.
  • Verdächtig   Der Inhalt der Nachricht wird wahrscheinlich zum Phishing genutzt.

Der PCL-Wert liegt zwischen 1 und 8. Eine PCL-Bewertung von 1 bis 3 gibt den Status Neutral zurück. Das bedeutet, der Inhalt der Nachricht wird wahrscheinlich nicht zum Phishing genutzt. Eine PCL-Bewertung zwischen 4 und 8 gibt den Status Suspicious zurück. Das bedeutet, der Inhalt der Nachricht wird wahrscheinlich zum Phishing genutzt.

Die Werte dienen zum Bestimmen der Aktion, die Outlook für Nachrichten ausführt. Outlook verwendet den PCL-Stempel, um den Inhalt verdächtiger Nachrichten zu blockieren.

Der PCL-Stempel wird wie folgt als X-Kopfzeile im Nachrichtenumschlag angezeigt:

X-MS-Exchange-Organization-PCL:<status>

SCL (Spam Confidence Level)

Der SCL-Stempel der Nachricht zeigt die Bewertung der Nachricht auf Grundlage ihres Inhalts an. Der Inhaltsfilter-Agent verwendet die Microsoft SmartScreen-Technologie, um die Inhalte von Nachrichten zu bewerten und diesen eine SCL-Bewertung zuzuweisen. Der SCL-Wert liegt zwischen 0 und 9, wobei die Wahrscheinlichkeit bei 0 eher gering und bei 9 eher hoch ist, dass es sich um Spam handelt. Die von Exchange und Outlook eingeleiteten Maßnahmen hängen von Ihren Einstellungen für den SCL-Schwellenwert ab.

Der SCL-Stempel wird wie folgt als X-Kopfzeile im Nachrichtenumschlag angezeigt:

X-MS-Exchange-Organization-SCL:<status>

Weitere Informationen zu SCL-Schwellenwerten und Maßnahmen finden Sie unter Grundlegendes zum SCL-Schwellenwert (Spam Confidence Level).

CW

Der CW-Stempel (Custom Weight) einer Nachricht gibt an, dass die Nachricht ein nicht zugelassenes Wort oder einen nicht zugelassenen Ausdruck enthält und dass der SCL-Wert bzw. die "Gewichtung" dieses nicht zugelassenen Worts oder Ausdrucks in die abschließende SCL-Bewertung einbezogen wurde:

  • Nicht zugelassene Ausdrücke oder Sperrausdrücke haben eine maximale Gewichtung und ändern die SCL-Auswertung zu 9.
  • Zugelassene Wörter oder Ausdrücke oder Zulassungsausdrücke haben eine minimale Gewichtung und ändern die SCL-Auswertung zu 0.

Weitere Informationen zum Hinzufügen zugelassener und nicht zugelassener Wörter oder Ausdrücke zum Inhaltsfilter-Agent finden Sie unter Konfigurieren der Eigenschaften von Inhaltsfiltern.

PP

Der PP-Stempel (Presolved Puzzle) gibt an, dass der Absender wahrscheinlich kein böswilliger Absender ist, wenn dessen Nachricht einen gültigen, gelösten Rechenpoststempel enthält, der auf der E-Mail-Poststempelüberprüfung von Outlook basiert. In diesem Fall senkt der Inhaltsfilter-Agent die SCL-Bewertung.

Der Inhaltsfilter-Agent ändert die SCL-Bewertung nicht, wenn die E-Mail-Poststempelüberprüfung aktiviert ist und eine der folgenden Bedingungen zutrifft:

  • Eine eingehende Nachricht enthält keine Kopfzeile mit Rechenpoststempel.
  • Die Kopfzeile mit dem Rechenpoststempel ist ungültig.

Weitere Informationen zur Poststempelüberprüfung finden Sie unter Konfigurieren der Eigenschaften von Inhaltsfiltern.

TIME:TimeBasedFeatures

Der Stempel TIME gibt an, dass zwischen dem Absenden und dem Eingang der Nachricht ein beachtlicher Zeitunterschied herrscht. Der TIME-Stempel wird zum Bestimmen der abschließenden SCL-Bewertung für die Nachricht verwendet.

MIME:MIMECompliance

Der MIME-Stempel gibt an, dass die E-Mail-Nachricht nicht MIME-kompatibel ist.

P100:PhishingBlock

Der P100-Stempel gibt an, dass die Nachricht eine URL enthält, die in einer Phishing-Definitionsdatei enthalten ist.

IPOnAllowList

Der Stempel IPOnAllowList gibt an, dass sich die IP-Adresse des Absenders in der Liste der zulässigen IP-Adressen befindet. Weitere Informationen über die Liste der zulässigen IP-Adressen finden Sie unter Grundlegendes zur Verbindungsfilterung.

MessageSecurityAntispamBypass

Der Stempel "MessageSecurityAntispamBypass" gibt an, dass der Inhalt der Nachricht nicht gefiltert wurde und dass dem Absender die Berechtigung erteilt wurde, die Antispamfilter zu umgehen.

SenderBypassed

Der Stempel "SenderBypassed" gibt an, dass der Inhaltsfilter-Agent für Nachrichten keine Inhaltsfilterung ausführt, die von diesem Absender empfangen werden. Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Inhaltsfiltern.

AllRecipientsBypassed

Der Stempel AllRecipientsBypassed gibt an, dass eine der folgenden Bedingungen für alle in der Nachricht aufgeführten Empfänger zutrifft:

  • Der Parameter AntispamBypassedEnabled ist für das Postfach des Empfängers auf den Wert $true eingestellt. Dies ist eine Einstellung auf Empfängerebene, die nur von einem Administrator festgelegt werden kann. Weitere Informationen zu dieser Einstellung finden Sie unter Set-Mailbox.
  • Der Nachrichtenabsender befindet sich in der Outlook-Liste der sicheren Absender des Empfängers. Weitere Informationen zur Liste der sicheren Absender finden Sie unter Konfigurieren der Aggregation von Listen sicherer Adressen.
  • Der Inhaltsfilter-Agent führt keine Inhaltsfilterung für Nachrichten aus, die an diesen Empfänger gesendet wurden. Weitere Informationen zu Empfängerausnahmen finden Sie unter Konfigurieren der Eigenschaften von Inhaltsfiltern.