Grundlegendes zur Empfängerfilterung
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2012-11-30
Der Empfängerfilter-Agent ist ein Antispam-Agent, der auf Computern unter MicrosoftExchange Server 2010 aktiviert ist, auf denen die Edge-Transport-Serverrolle installiert ist. Der Empfängerfilter-Agent verwendet die RCPT TO-SMTP-Kopfzeile, um gegebenenfalls die Aktion zu bestimmen, die auf eine eingehende Nachricht angewendet werden soll.
Beim Konfigurieren von Antispam-Agents auf einem Edge-Transport-Server bearbeitet der Agent Nachrichten kumulativ, um die Anzahl der unerwünschten Nachrichten zu verringern, die in die Organisation gelangen. Weitere Informationen zum Planen und Bereitstellen von Agents zur Bekämpfung von Spam finden Sie unter Grundlegendes zur Antispam- und Antivirusfunktionalität.
Der Empfängerfilter-Agent blockt Nachrichten entsprechend den Eigenschaften des beabsichtigten Empfängers in der Organisation. Der Empfängerfilter-Agent kann Ihnen dabei helfen, in folgenden Szenarios die Annahme von Nachrichten zu verhindern:
Nicht vorhandene Empfänger Sie können die Zustellung an Empfänger verhindern, die nicht im Adressbuch der Organisation vorhanden sind. Möglicherweise möchten Sie die Zustellung an häufig missbrauchte Kontonamen wie administrator@contoso.com oder support@contoso.com unterbinden.
Eingeschränkte Verteilerlisten Sie können die Zustellung von Internet Mail an Verteilerlisten verhindern, die nur von internen Benutzern verwendet werden sollten.
Postfächer, die keine Nachrichten über das Internet empfangen dürfen sollen Sie können die Zustellung von Internet-E-Mails an ein bestimmtes Postfach bzw. an einen Alias verhindern, das/der normalerweise innerhalb der Organisation verwendet wird, z. B. Helpdesk.
Der Empfängerfilter-Agent verarbeitet Empfänger, die in einer der beiden folgenden Datenquellen gespeichert sind:
Liste blockierter Empfänger Eine vom Administrator definierte Liste von Empfängern, für die über das Internet eingehende Nachrichten nie akzeptiert werden sollen.
Empfängersuche Überprüfung, dass der Empfänger in der Organisation vorhanden ist. Für die Empfängersuche ist der Zugriff auf Active Directory-Informationen erforderlich, die den Active Directory Lightweight Directory Services (AD LDS) von EdgeSync bereitgestellt werden.
Weitere Informationen zu Listen blockierter Empfänger und der Empfängersuchfunktion finden Sie weiter unten in diesem Thema unter "Empfängerdatenquellen".
Wenn der Empfängerfilter-Agent aktiviert wird, wird entsprechend der Eigenschaften des Empfängers mit eingehenden Nachrichten eine der folgenden Aktionen ausgeführt. Diese Empfänger werden durch die RCPT TO-Kopfzeile identifiziert.
Wenn die eingehende Nachricht einen Empfänger enthält, der in der Liste blockierter Empfänger steht, sendet der Edge-Transport-Server einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absenderserver.
Wenn die eingehende Nachricht einen Empfänger enthält, der keinem Empfänger in der Empfängersuche entspricht, sendet der Edge-Transport-Server einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absenderserver.
Wenn der Empfänger nicht in der Liste blockierter Empfänger, jedoch bei der Empfängersuche zu finden ist, sendet der Edge-Transport-Server eine SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) an den Absenderserver, und der nächste Antispam-Agent in der Reihe verarbeitet die Nachricht.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Antispam- und Antivirenfunktionen gibt? Weitere Informationen finden Sie unter Verwalten der Antispam- und Antivirenfunktionen.
Inhalt
Konfigurieren von AD LDS für die Empfängersuche
Empfängerdatenquellen
Teergrubenfunktion (Tarpitting)
Konfigurieren des Teergrubenintervalls
Mehrere Namespaces
Konfigurieren von AD LDS für die Empfängersuche
Eins der effektivsten Verfahren zum Verringern von Spam besteht in der Überprüfung von Empfängern vor dem Akzeptieren eingehender Nachrichten aus dem Internet. Daher empfiehlt es sich, für die AD LDS-Instanz, die auf dem Edge-Transport-Server ausgeführt wird, eine Synchronisierung mit Active Directory zu konfigurieren. Standardmäßig wird AD LDS auf dem Edge-Transport-Server installiert und konfiguriert. Jedoch müssen Sie für AD LDS die Kommunikation mit einem globalen Katalogserver einer Active Directory-Domäne konfigurieren. Meistens muss auch die Firewall für das Aktivieren bestimmter Anschlüsse für die Kommunikation mit AD LDS konfiguriert werden. Weitere Informationen finden Sie unter Grundlegendes zu Edge-Abonnements.
Nachdem Sie AD LDS für die Replikation einer Liste blockierter Empfänger von Active Directory konfiguriert haben, müssen Sie anschließend die Sperrung von Nachrichten an Empfänger aktivieren, die nicht in der Exchange-Organisation vorhanden sind. Die Nachrichtensperrung wird auf der Registerkarte Blockierte Empfänger auf der Seite Eigenschaften von Empfängerfilterung in der Exchange-Verwaltungskonsole konfiguriert. Darüber hinaus können Sie die Nachrichtensperrung auch mithilfe des Cmdlets Set-RecipientFilterConfig in der Exchange-Verwaltungsshell aktivieren. Weitere Informationen finden Sie unter Set-RecipientFilterConfig.
Konfigurieren von AD LDS für die Empfängersuche
Empfängerdatenquellen
Wie bereits erwähnt, verwendet der Empfängerfilter-Agent zwei Datenquellen zum Vergleichen von Empfängern in eingehenden Nachrichten: die Liste blockierter Empfänger und Empfängersuche.
Liste blockierter Empfänger
Die Liste blockierter Empfänger wird von den Administratoren für den Edge-Transport-Server verwaltet. Die Daten der Liste blockierter Empfänger werden in der Edge-Transport-Serverinstanz von AD LDS gespeichert. Blockierte Empfänger müssen auf jedem Edge-Transport-Servercomputer einzeln eingegeben werden.
Die Empfänger, die vom Empfängerfilter-Agent blockiert werden sollen, können in der Exchange-Verwaltungskonsole auf der Seite Eigenschaften von Empfängerfilterung auf der Registerkarte Blockierte Empfänger eingegeben werden. Zum Eingeben der Empfänger können Sie das Cmdlet Set-RecipientFilterConfig in der Shell verwenden. Weitere Informationen zum Konfigurieren des Empfängerfilter-Agents finden Sie unter Konfigurieren der Eigenschaften von Empfängerfiltern.
Empfängersuche
Ein Vorteil des Empfängerfilter-Agents besteht darin, dass verifiziert werden kann, ob sich die Empfänger einer eingehenden Nachricht in Ihrer Organisation befinden, bevor Exchange 2010 die Nachricht in Ihre Organisation übermittelt wird. Diese Funktion basiert auf einer Empfängerdatenquelle, die dem Edge-Transport-Server zur Verfügung steht. Da der Edge-Transport-Server kein der Active Directory-Domäne beigetretener Computer ist und von der Organisation durch eine Firewall getrennt sein kann, müssen Sie eine Datenquelle für die Empfängersuche konfigurieren, die vom Edge-Transport-Server verwendet werden soll.
Die Edge-Transport-Serverrolle verwendet AD LDS für die Konfiguration und Datenspeicherung. Weitere Informationen finden Sie unter Grundlegendes zu Edge-Abonnements.
Konfigurieren von AD LDS für die Empfängersuche
Teergrubenfunktion (Tarpitting)
Die Empfängersuchfunktion ermöglicht einem Absenderserver die Überprüfung, ob eine E-Mail-Adresse gültig ist oder nicht. Wie bereits erwähnt, sendet der Edge-Transport-Server, wenn es sich bei dem Empfänger einer eingehenden Nachricht um einen bekannten Empfänger handelt, eine SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) an den Absenderserver zurück. Diese Funktionalität bietet eine ideale Umgebung für einen Verzeichnisdiebstahl-Angriff.
Ein Verzeichnisdiebstahl-Angriff ist ein Versuch, gültige E-Mail-Adressen einer bestimmten Organisation zu sammeln, um diese Adressen einer Spamdatenbank hinzuzufügen. Da alle Erlöse aus Spam darauf beruhen, Personen dazu zu bringen, E-Mail-Nachrichten zu öffnen, sind nachweislich aktive Adressen eine Art Ware, für die böswillige Benutzer oder Spammer Geld bezahlen. Da das SMTP-Protokoll Rückmeldungen für bekannte und unbekannte Absender liefert, kann ein Spammer ein automatisiertes Programm schreiben, das gemeinsame Namen oder Wörterbucheinträge verwendet, um E-Mail-Adressen an eine bestimmte Domäne zu konstruieren. Das Programm sammelt dann alle E-Mail-Adressen, die eine SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) zurückgeben, und verwirft alle E-Mail-Adressen, die einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgeben. Der Spammer kann nun die gültigen E-Mail-Adressen verkaufen oder als Empfänger für unerwünschte Nachrichten verwenden.
Zur Bekämpfung von Verzeichnisdiebstahl-Angriffen enthält Exchange 2010 eine Teergrubenfunktion (Tarpitting). Beim Teergrubenverfahren handelt es sich um eine Methode, bei der Serverantworten auf bestimmte SMTP-Kommunikationsmuster, die auf hohe Volumen von Spam oder anderen unerwünschten Nachrichten hindeuten, künstlich verzögert werden. Das Ziel des Teergrubenverfahrens ist es, den Kommunikationsprozess für solchen E-Mail-Verkehr zu verlangsamen, um die Kosten des Versendens von Spam für die Person oder Organisation, von der der Spam gesendet wird, zu erhöhen. Durch das Teergrubenverfahren werden Verzeichnisdiebstahl-Angriffe zu kostspielig, um sie effizient automatisieren zu können.
Wenn die Teergrubenfunktion nicht konfiguriert ist, gibt Exchange Server sofort einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absender zurück, wenn ein Empfänger bei der Empfängersuche nicht gefunden wird. Alternativ wartet SMTP bei konfigurierter Teergrubenfunktion eine festgelegte Anzahl von Sekunden, bevor der Fehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgegeben wird. Diese Pause innerhalb der SMTP-Sitzung erschwert die Automatisierung eines Verzeichnisdiebstahl-Angriffs und erhöht die Kosten für den Spammer. Das Teergrubenverfahren ist für Empfangsconnectors standardmäßig auf 5 Sekunden festgelegt.
Zum Konfigurieren des Zeitintervalls, nach dem SMTP den Fehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgibt, verwenden Sie die Verwaltungskonsole oder die Shell, um den Wert TarpitInterval auf dem Empfangsconnector festzulegen. Weitere Informationen zum Verwalten und Konfigurieren von Empfangsconnectors finden Sie unter Grundlegendes zu Empfangsconnectors.
Konfigurieren von AD LDS für die Empfängersuche
Konfigurieren des Teergrubenintervalls
Wie in Grundlegendes zur Empfängerfilterung erläutert, können Sie die Empfangsconnectors, die eingehende Nachrichten aus dem Internet verarbeiten, so konfigurieren, dass die SMTP-Antwort verlangsamt wird. Stellen Sie sicher, dass das Teergrubenverfahren auf den Empfangsconnectors aktiviert ist, insbesondere, wenn das Feature zur Empfängersuche der Empfängerfilterung aktiviert ist. Wenn das Teergrubenverfahren nicht aktiviert, die Empfängersuchfunktion jedoch aktiviert ist, wird die Organisation einem Verzeichnisdiebstahl-Angriff ausgesetzt. Ein Verzeichnisabrufangriff führt wahrscheinlich zu mehr Spam.
Wenn Sie ein Teergrubenintervall auf einem Empfangsconnector angeben, ist die Teergrubenfunktionalität aktiviert. Die Standardeinstellung ist 5 Sekunden. Es wird empfohlen, mit einem Wert von 5 (Sekunden) zu beginnen. Gehen Sie mit Umsicht vor, wenn Sie sich entscheiden, diesen Wert zu ändern. Ein übermäßig langes Intervall kann die normale Nachrichtenübermittlung unterbrechen, während ein zu kurzes Intervall möglicherweise nicht ausreichend effektiv beim Abwehren eines Verzeichnisdiebstahl-Angriffs ist. Wenn Sie den Wert für das Teergrubenintervall ändern, nehmen Sie die Änderung in kleinen Schritten vor.
Wenn Sie eine frühere Version von Exchange Server als MicrosoftExchange Server 2010 Service Pack 2 (SP2) ausführen, können Sie das Intervall des Teergrubenverfahrens auf der Registerkarte Sicherheit der Eigenschaftenseiten des Empfangsconnectors in der Exchange-Verwaltungskonsole festlegen oder hierfür das CmdletSet-ReceiveConnector in der Exchange-Verwaltungsshell verwenden. Weitere Informationen dazu, wie Sie die Exchange-Verwaltungskonsole zum Konfigurieren des Teergrubenintervalls verwenden, finden Sie unter Konfigurieren der Eigenschaften von Empfangsconnectors.
Wenn Sie Exchange Server 2010 SP2 oder eine höhere Version ausführen, legen Sie das Teergrubenintervall über das Cmdlet Set-ReceiveConnector in der Exchange-Verwaltungsshell fest.
Konfigurieren von AD LDS für die Empfängersuche
Mehrere Namespaces
Manche Organisationen akzeptieren E-Mail-Nachrichten für mehrere Domänen. So kann beispielsweise eine Organisation Nachrichten für beide Domänen Contoso.com und Woodgrovebank.com akzepieren. Manchmal sind Organisationen für alle Domänen autorisierend, für die Nachrichten akzeptiert werden. Im SMTP-Kontext ist die Organisation für eine Domäne autorisierend, wenn die Organisation die Postfächer dieser Domäne enthält und verwaltet. Diese Beziehung dehnt sich bis auf den Edge-Transport-Server aus. Ein Edge-Transport-Server kann Nachrichten für mehrere Domänen akzeptieren, kann aber nicht für alle diese Domänen autorisierend sein. Ein Edge-Transport-Server kann also beispielsweise so konfiguriert sein, dass er für alle Empfänger in der Domäne Contoso.com autorisierend ist, aber der Edge-Transport-Server akzeptiert immer noch Nachrichten für die Domäne Woodgrovebank.com und leitet sie weiter.
Wenn der Empfängerfilter-Agent aktiviert wird, führt er Empfängersuchen nur für die Domänen aus, die in der Transportserverkonfiguration als autoritativ angegeben sind. Wenn ein Edge-Transport-Server Nachrichten im Auftrag einer anderen Domäne akzeptiert und weiterleitet, der Edge-Transport-Server aber nicht als autoritativ konfiguriert ist, führt der Empfängerfilter-Agent keine Empfängersuche aus. Wenn jedoch ein nicht autoritativer Empfänger in der Liste blockierter Empfänger angegeben ist, wird der Empfänger dennoch blockiert.
Konfigurieren von AD LDS für die Empfängersuche
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.