(0) exportieren Drucken
Alle erweitern
Verwandte Hilfethemen
Loading
Keine Ressourcen gefunden
Verwandte Blog-Artikel
Loading
Keine Ressourcen gefunden
Erweitern Minimieren

Grundlegendes zur Kopfzeilenfirewall

Exchange 2010
 

Gilt für: Exchange Server 2010 SP3, Exchange Server 2010 SP2

Letztes Änderungsdatum des Themas: 2010-01-27

In Microsoft Exchange Server 2010 ist die Kopfzeilenfirewall ein Mechanismus, der bestimmte Kopfzeilenfelder aus ein- und ausgehenden Nachrichten entfernt. Computer mit Exchange 2010, auf denen die Hub-Transport- oder Edge-Transport-Serverrolle installiert ist, fügen benutzerdefinierte X-Kopfzeilenfelder in den Nachrichtenkopf ein. Eine X-Kopfzeile ist ein benutzerdefiniertes, inoffizielles Kopfzeilenfeld, das im Nachrichtenkopf vorhanden ist. X-Kopfzeilen werden in RFC 2822 nicht ausdrücklich erwähnt, doch die Verwendung eines nicht definierten Kopfzeilenfelds, das mit X- beginnt, hat sich zu einer akzeptierten Methode entwickelt, um einer Nachricht inoffizielle Kopfzeilenfelder hinzuzufügen. Messaginganwendungen, wie z. B. Antipsam-, Antivirus- oder Messagingserveranwendungen, können einer Nachricht ihre eigenen X-Kopfzeilen hinzufügen. X-Kopfzeilenfelder bleiben zwar normalerweise erhalten, werden aber von Messagingservern und -clients, die keine X-Kopfzeilenfelder verwenden, ignoriert.

Die X-Kopfzeilenfelder enthalten Einzelheiten zu den Aktionen, die durch den Transportserver für die Nachricht ausgeführt werden, z. B. für die SCL-Bewertung (Spam Confidence Level), die Ergebnisse der Inhaltsfilterung und den Status der Regelverarbeitung. Die Offenlegung solcher Informationen gegenüber nicht autorisierten Quellen kann ein potenzielles Sicherheitsrisiko darstellen.

Die Kopfzeilenfirewall verhindert das Spoofing dieser X-Kopfzeilen, indem diese aus eingehenden Nachrichten entfernt werden, die aus nicht vertrauenswürdigen Quellen in die Exchange-Organisation gelangen. Die Kopfzeilenfirewall verhindert die Offenlegung dieser X-Kopfzeilen, indem diese aus ausgehenden Nachrichten entfernt werden, die an nicht vertrauenswürdige Ziele außerhalb der Exchange-Organisation adressiert sind. Die Kopfzeilenfirewall verhindert außerdem das Spoofing von Standardroutingkopfzeilen, die zum Verfolgen des Routingverlaufs einer Nachricht verwendet werden.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Transportservern gibt? Informationen hierzu finden Sie unter Verwalten von Transportservern.

Inhalt

In Exchange 2010 verwendete benutzerdefinierte Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen

Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen

Kopfzeilenfirewall für Routingkopfzeilen

Kopfzeilenfirewall und frühere Versionen von Exchange

Organisations-X-Kopfzeilen beginnen mit X-MS-Exchange-Organization-. Gesamtstruktur-X-Kopfzeilen beginnen mit X-MS-Exchange-Forest-.

In der folgenden Tabelle sind einige der Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen beschrieben, die in Nachrichten in einer Exchange 2010-Organisation verwendet werden.

Auswahl einiger Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in Nachrichten in einer Exchange 2010-Organisation verwendet werden

X-Kopfzeile Beschreibung

X-MS-Exchange-Forest-RulesExecuted

Diese X-Kopfzeile listet die Transportregeln auf, die für die Nachricht ausgeführt wurden.

X-MS-Exchange-Organization-Antispam-Report

Diese X-Kopfzeile ist ein Zusammenfassungsbericht der Ergebnisse der Antispamfilter, die auf die E-Mail-Nachricht durch den Inhaltsfilter-Agent angewendet wurden.

X-MS-Exchange-Organization-AuthAs

Diese X-Kopfzeile ist immer vorhanden, wenn die Sicherheit einer Nachricht bewertet wurde. Diese X-Kopfzeile gibt die Authentifizierungsquelle an. Die möglichen Werte sind Anonymous, Internal, External oder Partner.

X-MS-Exchange-Organization-AuthDomain

Diese X-Kopfzeile wird während der domänensicheren Authentifizierung mit Daten aufgefüllt. Der Wert ist der vollständig qualifizierte Domänenname (FQDN) der remote authentifizierten Domäne.

X-MS-Exchange-Organization-AuthMechanism

Diese X-Kopfzeile listet die Transportregeln auf, die für die Nachricht ausgeführt wurden. Der Wert ist eine zweistellige hexadezimale Zahl.

X-MS-Exchange-Organization-AuthSource

Diese X-Kopfzeile gibt den FQDN des Servercomputers an, der die Authentifizierung der Nachricht für die Organisation ausgewertet hat.

X-MS-Exchange-Organization-Journal-Report

Diese X-Kopfzeile gibt Journalberichte im Transportvorgang an. Sobald die Nachricht den Transportserver verlässt, ändert sich die Kopfzeile in "X-MS-Journal-Report".

X-MS-Exchange-Organization-OriginalArrivalTime

Diese X-Kopfzeile gibt die Uhrzeit an, zu der die Nachricht erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-Original-Sender

Diese X-Kopfzeile gibt den ursprünglichen Absender einer isolierten Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-OriginalSize

Diese X-Kopfzeile gibt die ursprüngliche Größe einer isolierten Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-Original-Scl

Diese X-Kopfzeile gibt die ursprüngliche SCL-Bewertung einer isolierten Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-PCL

Diese X-Kopfzeile gibt die PCL-Bewertung (Phishing Confidence Level) an. Die möglichen PCL-Werte sind 1 bis 8. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Weitere Informationen finden Sie unter Grundlegendes zu Antispamstempeln.

X-MS-Exchange-Organization-Quarantine

Diese X-Kopfzeile gibt an, dass die Nachricht im Quarantänepostfach für Spam isoliert wurde und dass eine Benachrichtigung über den Zustellungsstatus (Delivery Status Notification, DSN) gesendet wurde. Sie kann auch angeben, dass die Nachricht isoliert und vom Administrator freigegeben wurde. Diese X-Kopfzeile verhindert, dass die freigegebene Nachricht erneut an das Quarantänepostfach für Span übermittelt wird. Weitere Informationen finden Sie unter Freigeben von Nachrichten unter Quarantäne aus dem Quarantänepostfach für Spam.

X-MS-Exchange-Organization-SCL

Diese X-Kopfzeile gibt die SCL-Bewertung der Nachricht an. Die möglichen SCL-Werte sind 0 bis 9. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Der Sonderwert -1 nimmt die Nachricht von der Verarbeitung durch den Inhaltsfilter-Agent aus. Weitere Informationen finden Sie unter Grundlegendes zur Inhaltsfilterung.

X-MS-Exchange-Organization-SenderIdResult

Diese X-Kopfzeile enthält die Ergebnisse des Sender ID-Agents. Der Sender ID-Agent verwendet das SPF (Sender Policy Framework) zum Vergleichen der Quell-IP-Adresse der Nachricht mit der Domäne, die in der E-Mail-Adresse des Absenders verwendet wird. Die Ergebnisse der Sender ID werden verwendet, um die SCL-Bewertung für eine Nachricht zu berechnen. Weitere Informationen finden Sie unter Grundlegendes zur Sender ID.

Zurück zum Seitenanfang

Exchange 2010 wendet die Kopfzeilenfirewall auf folgende Weise auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen an, die in Nachrichten vorhanden sind:

  • Berechtigungen, die zum Beibehalten oder Entfernen bestimmter X-Kopfzeilen in Nachrichten verwendet werden können, werden Sendeconnectors oder Empfangsconnectors zugewiesen.

  • Die Kopfzeilenfirewall wird automatisch für X-Kopfzeilen in Nachrichten während anderer Nachrichtenübermittlungsarten implementiert.

Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in eingehenden Nachrichten vorhanden sind, besteht aus zwei besonderen Berechtigungen, die einem Empfangsconnector zugewiesen werden, der auf einem Hub-Transport- oder einem Edge-Transport-Server konfiguriert ist:

  • Wenn die Berechtigungen dem Empfangsconnector zugewiesen werden, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in Nachrichten bleiben erhalten.

  • Wenn die Berechtigungen nicht auf den Empfangsconnector angewendet werden, wird die Kopfzeilenfirewall auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen werden aus der Nachricht entfernt.

In der folgenden Tabelle sind die Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen beschrieben, die für einen Empfangsconnector verfügbar sind.

Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die für einen Empfangsconnector für eingehende Nachrichten verfügbar sind

Berechtigung Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist. Beschreibung

Ms-Exch-Accept-Headers-Organization

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur auf Hub-Transport-Servern

ExchangeServers

Internal

Diese Berechtigung gilt für Organisations-X-Kopfzeilen. Organisations-X-Kopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Organisationskopfzeilen aus der Nachricht.

Ms-Exch-Accept-Headers-Forest

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur auf Hub-Transport-Servern

ExchangeServers

Internal

Diese Berechtigung gilt für Gesamtstruktur-X-Kopfzeilen. Gesamtstruktur-X-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Gesamtstrukturkopfzeilen aus der Nachricht.

Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Empfangsconnectorszenario auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie einen Empfangsconnector, und wählen Sie einen anderen Verwendungstyp als Internal aus. Der Verwendungstyp des Empfangsconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Empfangsconnectors.

  • Ändern Sie einen vorhandenen Empfangsconnector, und entfernen Sie die Berechtigungsgruppe "ExchangeServers". Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Empfangsconnectors.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung "Ms-Exch-Accept-Headers-Organization" und die Berechtigung "Ms-Exch-Accept-Headers-Forest" von einem Sicherheitsprinzipal zu entfernen, der für den Empfangsconnector konfiguriert ist. Diese Methode funktioniert nicht, wenn die Berechtigung dem Sicherheitsprinzipal mithilfe einer Berechtigungsgruppe zugewiesen wurde. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem Sicherheitsprinzipal, der für den Empfangsconnector konfiguriert ist, die Berechtigung "Ms-Exch-Accept-Headers-Organization" und die Berechtigung "Ms-Exch-Accept-Headers-Forest" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.

Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in ausgehenden Nachrichten vorhanden sind, besteht aus zwei besonderen Berechtigungen, die einem Sendeconnector zugewiesen werden, der auf einem Hub-Transport- oder einem Edge-Transport-Server konfiguriert ist:

  • Wenn die Berechtigungen dem Sendeconnector zugewiesen werden, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in Nachrichten bleiben erhalten.

  • Wenn die Berechtigungen nicht auf den Sendeconnector angewendet werden, wird die Kopfzeilenfirewall auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und die Gesamtstruktur-X-Kopfzeilen werden aus der Nachricht entfernt.

In der folgenden Tabelle sind die Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen beschrieben, die für einen Sendeconnector verfügbar sind.

Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die für einen Sendeconnector für ausgehende Nachrichten verfügbar sind

Berechtigung Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist. Beschreibung

Ms-Exch-Send-Headers-Organization

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur auf Hub-Transport-Servern
  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe "Exchange Legacy Interop"

  • Exchange Server 2003-Bridgeheadserver

Internal

Diese Berechtigung gilt für Organisations-X-Kopfzeilen. Organisations-X-Kopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht erteilt wird, entfernt der sendende Server alle Organisationskopfzeilen aus der Nachricht.

Ms-Exch-Send-Headers-Forest

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur auf Hub-Transport-Servern
  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe "Exchange Legacy Interop"

  • Exchange 2003-Bridgeheadserver

Internal

Diese Berechtigung gilt für Gesamtstruktur-X-Kopfzeilen. Gesamtstruktur-X-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht erteilt wird, entfernt der sendende Server alle Gesamtstrukturkopfzeilen aus der Nachricht.

Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Sendeconnectorszenario für Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie einen Sendeconnector, und wählen Sie einen anderen Verwendungstyp als Internal oder Partner aus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Sendeconnectors.

  • Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung "Ms-Exch-Send-Headers-Organization" und die Berechtigung "Ms-Exch-Send-Headers-Forest" zuweist, vom Connector. Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Sendeconnectors.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigungen "Ms-Exch-Send-Headers-Organization" und "Ms-Exch-Send-Headers-Forest" von einem der Sicherheitsprinzipale zu entfernen, die für den Sendeconnector konfiguriert sind. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, die für den Sendeconnector konfiguriert sind, die Berechtigungen "Ms-Exch-Send-Headers-Organization" und "Ms-Exch-Send-Headers-Forest" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.

Nachrichten können in die Exchange 2010-Transportpipeline auf einem Hub-Transport- oder einem Edge-Transport-Server eingehen, ohne dass Sende- oder Empfangsconnectors verwendet werden. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird auf Nachrichten angewendet, die aus diesen anderen Nachrichtenquellen stammen. Die folgende Liste beschreibt diese Quellen:

  • PICKUP-Verzeichnis   Das PICKUP-Verzeichnis wird von Administratoren oder Anwendungen zum Übermitteln von Nachrichtendateien verwendet. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird immer auf die Nachrichtendateien im PICKUP-Verzeichnis angewendet. Weitere Informationen zum PICKUP-Verzeichnis finden Sie unter Grundlegendes zu den PICKUP- und Wiedergabeverzeichnissen.

  • Wiedergabeverzeichnis   Das Wiedergabeverzeichnis wird zum erneuten Übermitteln von Nachrichten verwendet, die aus Exchange 2010-Nachrichtenwarteschlangen exportiert wurden. Wie die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen auf diese Nachrichten angewendet wird, wird durch das X-CreatedBy:-Kopfzeilenfeld in der Nachrichtendatei gesteuert:

    • Wenn der Wert des Kopfzeilenfelds MSExchange14 ist, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet.

    • Wenn der Wert von X-CreatedBy: nicht MSExchange14 ist, wird die Kopfzeilenfirewall angewendet.

    • Wenn das X-CreatedBy:-Kopfzeilenfeld nicht in der Nachrichtendatei vorhanden ist, wird die Kopfzeilenfirewall angewendet.

    Weitere Informationen zum Wiedergabeverzeichnis finden Sie unter Grundlegendes zu den PICKUP- und Wiedergabeverzeichnissen.

  • Ablageverzeichnis   Das Ablageverzeichnis wird von fremden Connectors auf Hub-Transport-Servern verwendet, um Nachrichten an Messagingserver zu senden, die zum Übertragen von Nachrichten nicht SMTP (Simple Mail Transfer Protocol) verwenden. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird auf Nachrichtendateien angewendet, bevor sie im Ablageverzeichnis gespeichert werden. Weitere Informationen zu fremden Connectors finden Sie unter Grundlegendes zu fremden Connectors.

  • Informationsspeichertreiber   Der Informationsspeichertreiber ist auf Hub-Transport-Servern vorhanden, um Nachrichten in Postfächer und aus Postfächern auf Postfachservern zu transportieren. Für ausgehende Nachrichten, die in Postfächern erstellt und aus diesen übermittelt werden, wird die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen immer angewendet. Für eingehende Nachrichten wird die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen selektiv angewendet. Die in der folgenden Liste angegebenen X-Kopfzeilen werden von der Kopfzeilenfirewall nicht für eingehende Nachrichten an Postfachempfänger blockiert:

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

    Weitere Informationen zum Informationsspeichertreiber finden Sie unter Grundlegendes zur Transportpipeline.

  • DSN-Nachrichten   Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird immer auf die ursprüngliche Nachricht oder den ursprünglichen Nachrichtenkopf angewendet, der an die DSN-Nachricht angehängt ist. Weitere Informationen zu DSN-Nachrichten finden Sie unter Verwalten von Benachrichtigungen über den Zustellungsstatus.

  • Agent-Übermittlung   Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen wird nicht auf Nachrichten angewendet, die von Agents übermittelt werden.

Zurück zum Seitenanfang

Routingkopfzeilen sind Standard-SMTP-Kopfzeilenfelder, die in RFC 2821 und RFC 2822 definiert sind. Routingkopfzeilen stempeln eine Nachricht mithilfe von Informationen zu den verschiedenen Messagingservern, die für die Zustellung der Nachricht an den Empfänger verwendet wurden. Die verfügbaren Routingkopfzeilen werden in der folgenden Liste beschrieben.

  • Received:   Eine andere Instanz dieses Kopfzeilenfelds wird dem Nachrichtenkopf von jedem Messagingserver hinzugefügt, der die Nachricht angenommen und an den Empfänger weitergeleitet hat. Die Received:-Kopfzeile enthält normalerweise den Namen des Messagingservers und einen Datums-/Uhrzeitstempel.

  • Resent-*:   "Resent"-Kopfzeilenfelder sind Informationskopfzeilenfelder, die zum Bestimmen verwendet werden können, ob eine Nachricht von einem Benutzer weitergeleitet wurde. Die folgenden "Resent"-Kopfzeilenfelder sind verfügbar: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: und Resent-Message-ID:.

    Die "Resent"-Felder werden verwendet, damit die Nachricht dem Empfänger so erscheint, als wäre sie direkt vom ursprünglichen Absender gesendet worden. Der Empfänger kann den Nachrichtenkopf anzeigen und ermitteln, wer die Nachricht weitergeleitet hat.

In Nachrichten eingefügte Routingkopfzeilen können verwendet werden, um eine falsche Darstellung des Routingpfads zu geben, den eine Nachricht bis zum Eingang beim Empfänger durchlaufen hat. Exchange 2010 verwendet zwei verschiedene Methoden zum Anwenden der Kopfzeilenfirewall auf in Nachrichten vorhandene Routingkopfzeilen:

  • Berechtigungen werden Sende- oder Empfangsconnectors zugewiesen, die zum Beibehalten oder Entfernen von Routingkopfzeilen in Nachrichten verwendet werden können.

  • Die Kopfzeilenfirewall wird automatisch für Routingkopfzeilen in Nachrichten während anderer Nachrichtenübermittlungsarten implementiert.

Empfangsconnectors verfügen über die Berechtigung "Ms-Exch-Accept-Headers-Routing", die zum Annehmen oder Zurückweisen von Routingkopfzeilen verwendet wird, die in einer eingehenden Nachricht vorhanden sind:

  • Wird diese Berechtigung erteilt, bleiben alle Routingkopfzeilen in der eingehenden Nachricht erhalten.

  • Wird diese Berechtigung nicht erteilt, werden alle Routingkopfzeilen aus der eingehenden Nachricht entfernt.

In der folgenden Tabelle ist die Standardanwendung der Berechtigung "Ms-Exch-Accept-Headers-Routing" für einen Empfangsconnector beschrieben.

Standardanwendung der Berechtigung "Ms-Exch-Accept-Headers-Routing" für einen Empfangsconnector

Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist.

Anonymes Benutzerkonto

Anonymous

Internet

Authentifizierte Benutzerkonten

ExchangeUsers

Client (auf Edge-Transport-Servern nicht verfügbar)

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur Hub-Transport-Server
  • Extern gesicherte Server

ExchangeServers

Internal

Universelle Sicherheitsgruppe "Exchange Legacy Interop"

ExchangeLegacyServers

Internal

Partnerserverkonto

Partner

  • Internet

  • Partner

Die Berechtigung "Ms-Exch-Accept-Headers-Routing" wird allen Verwendungstypen mit Ausnahme von Custom zugewiesen. Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Empfangsconnectorszenario auf Routingkopfzeilen anwenden möchten, führen Sie die folgenden Schritte aus:

  1. Führen Sie eine der folgenden Aktionen aus:

    • Erstellen Sie einen Empfangsconnector, und wählen Sie den Verwendungstyp Custom aus. Weisen Sie dem Empfangsconnector keine Berechtigungsgruppen zu. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern.

    • Ändern Sie einen vorhandenen Empfangsconnector, und legen Sie den Parameter PermissionGroups auf den Wert None fest.

  2. Verwenden Sie das Cmdlet Add-ADPermission, um die entsprechenden Sicherheitsprinzipale hinzuzufügen, die auf dem Empfangsconnector erforderlich sind. Stellen Sie sicher, dass keinem der Sicherheitsprinzipale die Berechtigung "Ms-Exch-Accept-Headers-Routing" zugewiesen wurde. Wenn dies erforderlich sein sollte, verwenden Sie das Cmdlet Add-ADPermission, um dem Sicherheitsprinzipal, der für die Verwendung des Empfangsconnectors konfiguriert werden soll, die Berechtigung "Ms-Exch-Accept-Headers-Routing" zu verweigern.

Weitere Informationen hierzu finden Sie unter den folgenden Themen:

Sendeconnectors verfügen über die Berechtigung "Ms-Exch-Send-Headers-Routing", die zum Zulassen oder Entfernen von Routingkopfzeilen verwendet wird, die in einer ausgehenden Nachricht vorhanden sind:

  • Wird diese Berechtigung erteilt, bleiben alle Routingkopfzeilen in der ausgehenden Nachricht erhalten.

  • Wird diese Berechtigung nicht erteilt, werden alle Routingkopfzeilen aus der ausgehenden Nachricht entfernt.

In der folgenden Tabelle ist die Standardanwendung der Berechtigung "Ms-Exch-Send-Headers-Routing" für einen Sendeconnector beschrieben.

Standardanwendung der Berechtigung "Ms-Exch-Send-Headers-Routing" für einen Sendeconnector

Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist.
  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur auf Hub-Transport-Servern
  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe "Exchange Legacy Interop"

  • Exchange 2003-Bridgeheadserver

Internal

Anonymes Benutzerkonto

Internet

Partnerserver

Partner

Die Berechtigung "Ms-Exch-Send-Headers-Routing" wird allen Verwendungstypen mit Ausnahme von Custom zugewiesen. Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Sendeconnectorszenario auf Routingkopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie einen Sendeconnector, und wählen Sie den Verwendungstyp Custom aus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Sendeconnectors.

  • Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung "Ms-Exch-Send-Headers-Routing" zuweist, vom Connector. Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Sendeconnectors.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung "Ms-Exch-Send-Headers-Routing" von einem der Sicherheitsprinzipale zu entfernen, die für den Sendeconnector konfiguriert sind. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, die für den Sendeconnector konfiguriert sind, die Berechtigung "Ms-Exch-Send-Headers-Routing" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.

Nachrichten können in die Exchange 2010-Transportpipeline auf einem Hub-Transport- oder einem Edge-Transport-Server eingehen, ohne dass Sende- oder Empfangsconnectors verwendet werden. Die Kopfzeilenfirewall für Routingkopfzeilen wird auf andere Nachrichtenquellen angewendet, die in der folgenden Liste beschrieben werden:

  • PICKUP-Verzeichnis   Das PICKUP-Verzeichnis wird von Administratoren oder Anwendungen zum Übermitteln von Nachrichtendateien verwendet. Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf die Nachrichtendateien im PICKUP-Verzeichnis angewendet. Weitere Informationen zum PICKUP-Verzeichnis finden Sie unter Grundlegendes zu den PICKUP- und Wiedergabeverzeichnissen.

  • Informationsspeichertreiber   Der Informationsspeichertreiber ist auf Hub-Transport-Servern vorhanden, um Nachrichten in Postfächer und aus Postfächern auf Postfachservern zu transportieren. Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf alle Nachrichten angewendet, die aus Postfächern auf Postfachservern gesendet werden. Die Kopfzeilenfirewall für Routingkopfzeilen wird nicht auf eingehende Nachrichten für die Zustellung in Empfängerpostfächern angewendet. Weitere Informationen zum Informationsspeichertreiber finden Sie unter Grundlegendes zur Transportpipeline.

  • DSN-Nachrichten   Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf die ursprüngliche Nachricht oder den ursprüngliche Nachrichtenkopf angewendet, der an die DSN-Nachricht angehängt ist. Weitere Informationen zu DSN-Nachrichten finden Sie unter Verwalten von Benachrichtigungen über den Zustellungsstatus.

  • Wiedergabeverzeichnis, Ablageverzeichnis und Agent-Übermittlung   Die Kopfzeilenfirewall für Routingkopfzeilen wird nicht auf Nachrichten angewendet, die vom Wiedergabeverzeichnis, vom Ablageverzeichnis oder von Agents übermittelt werden.

Zurück zum Seitenanfang

Exchange 2003 und frühere Versionen von Exchange verwenden die Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen nicht. Exchange 2010 behandelt Versionen von Exchange, die älter sind als Exchange 2007, als nicht vertrauenswürdige Nachrichtenquellen. Die Kopfzeilenfirewall wird auf alle Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen angewendet, die von Servern stammen, die frühere Versionen von Exchange ausführen. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen wird auch auf Nachrichten angewendet, die in der Exchange-Organisation vorhandenen Servern zugestellt werden, die frühere Versionen von Exchange ausführen.

Frühere Versionen von Exchange verwenden das proprietäre Verb X-EXCH50, um Informationen zu Nachrichten und Empfängern zu übermitteln, die nicht in die E-Mail-Nachricht aufgenommen werden können. Diese Informationen werden als Exch50-BLOB (Binary Large Object) übertragen. Das Exch50-BLOB ist eine Sammlung binärer Daten, die als einzelnes Objekt gespeichert werden. Exch50 enthält Daten, z. B. die SCL-Bewertung (Spam Confidence Level), Adressumschreibungsinformationen und weitere MAPI-Eigenschaften, die über keine MIME-Entsprechung verfügen. Da es sich bei X-EXCH50 um ein proprietäres ESMTP-Verb (Extended Simple Mail Transfer Protocol) handelt, können Exch50-Daten nicht von Servern, auf denen Exchange nicht installiert ist, weitergegeben werden. Weitere Informationen finden Sie unter Exchange 2003 – Planungswegweiser für Upgrade und Koexistenz.

Routinggruppenconnectors zwischen Servercomputern, auf denen Exchange 2010 oder Exchange 2003 installiert ist, werden automatisch für die Unterstützung des Sendens und Empfangens von EXCH50-Daten konfiguriert. Sendeconnectors und Empfangsconnectors besitzen Berechtigungen, die den EXCH50-Befehl aktivieren.

In der folgenden Tabelle werden die Berechtigungen beschrieben, die den EXCH50-Befehl für einen Empfangsconnector für eingehende Nachrichten erlauben. Wenn eine dieser Berechtigungen nicht erteilt und eine Nachricht gesendet wird, die den EXCH50-Befehl enthält, nimmt der Server die Nachricht an, ohne den EXCH50-Befehl einzuschließen.

Berechtigungen, die den EXCH50-Befehl für einen Empfangsconnector für eingehende Nachrichten erlauben

Berechtigung Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist.

Ms-Exch-Accept-Exch50

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur auf Hub-Transport-Servern
  • Extern gesicherte Server

ExchangeServers

Internal

Ms-Exch-Accept-Exch50

Universelle Sicherheitsgruppe "Exchange Legacy Interop"

ExchangeLegacyServers

Internal

Wenn Sie dem EXCH50-Befehl in einem benutzerdefinierten Empfangsconnectorszenario blockieren möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie einen Empfangsconnector, und wählen Sie einen anderen Verwendungstyp als Internal aus. Der Verwendungstyp des Empfangsconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Empfangsconnectors.

  • Ändern Sie einen vorhandenen Empfangsconnector, und entfernen Sie die Berechtigungsgruppe "ExchangeServers". Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Empfangsconnectors.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung "Ms-Exch-Accept-Exch50" von einem Sicherheitsprinzipal zu entfernen, der für den Empfangsconnector konfiguriert ist. Diese Methode funktioniert nicht, wenn die Berechtigung dem Sicherheitsprinzipal mithilfe einer Berechtigungsgruppe zugewiesen wurde. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem Sicherheitsprinzipal, der für den Empfangsconnector konfiguriert ist, die Berechtigung "Ms-Exch-Accept-Exch50" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.

In der folgenden Tabelle werden die Berechtigungen beschrieben, die den EXCH50-Befehl für einen Sendeconnector für ausgehende Nachrichten erlauben. Wenn diese Berechtigung nicht gewährt und eine Nachricht gesendet wird, die den EXCH50-Befehl enthält, sendet der Server die Nachricht, ohne den EXCH50-Befehl einzuschließen.

Berechtigungen, die den EXCH50-Befehl für einen Sendeconnector für ausgehende Nachrichten erlauben

Berechtigung Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist.

Ms-Exch-Send-Exch50

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur auf Hub-Transport-Servern
  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe "Exchange Legacy Interop"

  • Exchange 2003-Bridgeheadserver

Internal

Wenn Sie dem EXCH50-Befehl in einem benutzerdefinierten Sendeconnectorszenario blockieren möchten, können Sie eine der folgenden Methoden verwenden:

  • Erstellen Sie einen Sendeconnector, und wählen Sie einen anderen Verwendungstyp als Internal aus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Sendeconnectors.

  • Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung "Ms-Exch-Send-Exch50" zuweist, vom Connector.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung "Ms-Exch-Send-Exch50" von einem der Sicherheitsprinzipale zu entfernen, die für den Sendeconnector konfiguriert sind. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, die für den Sendeconnector konfiguriert sind, die Berechtigung "Ms-Exch-Send-Exch50" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft