Konfigurieren zusätzlicher ASF (Additional Spam Filtering)-Optionen
Gilt für: Forefront Online Protection for Exchange
Letzte Änderung des Themas: 2012-08-02
Zusätzliche Spamfilterungsoptionen in Forefront Online Protection für Exchange (FOPE) ermöglichen es Ihnen als IT-Administrator, verschiedene Inhaltsattribute einer Nachricht auszuwählen, die entweder die Spambewertung erhöhen (die Möglichkeit, dass die Nachricht als Spam isoliert wird) oder Nachrichten, die bestimmte Attribute aufweisen, isolieren. ASF-Regeln sind auf bestimmte Nachrichteneigenschaften ausgerichtet, zum Beispiel HTML-Tags und URL-Umleitungen, die häufig in Spamnachrichten gefunden werden. Im Folgenden finden Sie eine vollständige Liste der ASF-Optionen.
Das Aktivieren der ASF-Optionen wird als aggressiver Ansatz bei der Spamfilterung angesehen. Die von diesen Optionen gefilterten Nachrichten können nicht als falsch positive Ergebnisse gemeldet werden. Diese Nachrichten können mithilfe von Spamquarantäne und regelmäßigen Spambenachrichtigungen wiederhergestellt werden. Administratoren können Richtlinien zu Zulassungsregeln erstellen, die es ermöglichen, dass Nachrichten die Spamfilterung einschließlich dieser ASF-Optionen umgehen. Wenn in einer Domäne die Option "Spamaktion" verwendet wird, wird die ASF-Definition im Internetheader einer als Spam markierten Nachricht angezeigt.
Konfigurieren von ASF-Optionen für Ihre Domäne
Klicken Sie auf der Registerkarte "Verwaltung" auf die Registerkarte Domänen.
Klicken Sie in der Liste Domänen auf den Namen der zu ändernden Domäne. Sie können mithilfe des Suchfelds nach einem bestimmten Domänennamen suchen.
Klicken Sie im zentralen Bereich neben Zusätzliche Spamfilterungsoptionen im Abschnitt Diensteinstellungen auf Bearbeiten.
Führen Sie für jede Option eine der folgenden Aktionen aus:
Schalten Sie die Option ein oder aus. Wenn Sie eine Option aktivieren, werden Nachrichten entsprechend der dieser Option zugeordneten Regel aktiv gefiltert. Je nachdem, welche ASF-Optionen aktiviert sind, werden Nachrichten als Spam markiert oder die Spambewertungen erhöht.
Klicken Sie auf Test, um die Option im Testmodus auszuführen. Optionen, die Filter im Testmodus aktivieren, führen keine Aktion bei den Filterkriterien entsprechenden Nachrichten aus. Testnachrichten werden entweder mit einem X-Header oder einer Einfügung in der Betreffzeile versehen, bevor sie an den beabsichtigten Empfänger gesendet werden. Sie werden nicht anhand der Spamfilterungsregeln gefiltert.
Klicken Sie auf Speichern.
Einige ASF-Optionen erhöhen die Spambewertung einer Nachricht. Andere Optionen markieren die Nachricht als Spam und isolieren sie. Eine Beschreibung der einzelnen ASF-Optionen finden Sie in der folgenden Tabelle der ASF-Optionen. Weitere Informationen und Empfehlungen zu den zusätzlichen Spamfilterungsoptionen finden Sie auch unter "ASF (Additional Spam Filtering)-Optionen" in Bewährte Vorgehensweisen für die FOPE-Konfiguration.
ASF (Additional Spam Filtering)-Optionen
| ASF-Option | Beschreibung | ID (wie im Testmodus, in Quarantäne usw. angezeigt) |
|---|---|---|
Abschnitt Spambewertung erhöhen |
||
Bilderlinks zu Remotewebsites |
Diese Option legt fest, dass Nachrichten, die Bilderlinks zu Remotewebsites enthalten, einen Code auslösen, der bewirkt, dass eine HTML-E-Mail eine Grafik von einer Remotewebsite lädt. Bildtags können in legitimen Newslettern verwendet werden. Spammer können Bildtags jedoch dazu verwenden, Texte oder Grafiken für Werbezwecke anzuzeigen. Deshalb erhöht die Aktivierung dieser Option die Bewertung einer derartigen Nachricht und die Wahrscheinlichkeit, dass sie als Spam markiert wird. |
0 |
Numerische IP in URL |
Nachrichten mit numerischen URLs (meist in Form einer IP-Adresse) erhalten eine erhöhte Spambewertung. |
10 |
URL-Umleitung zu anderem Port |
Nachrichten, die einen Hyperlink enthalten, über den der Benutzer an Ports umgeleitet wird, bei denen es sich nicht um Port 80 (regulär verwendeter Port für das HTTP-Protokoll), 8080 (alternativer HTTP-Port) oder 443 (HTTPS-Port) handelt, erhalten eine erhöhte Spambewertung. |
11 |
URL für ".biz"- oder ".info"-Websites |
Nachrichten mit einer ".biz"- oder ".info"-Erweiterung im Nachrichtentext erhalten eine erhöhte Spambewertung. |
12 |
Abschnitt Als Spam kennzeichnen |
||
Leere Nachrichten |
Alle Nachrichten, bei denen der Nachrichtenbetreff und -text leer sind, keine Formatierung des Texts vorliegt und keine Anlage vorhanden ist, werden als Spam markiert. |
1 |
JavaScript oder VBScript in HTML |
Alle Nachrichten, in denen JavaScript oder Visual Basic Script Edition in HTML verwendet wird, werden als Spam markiert. Beide dieser Skriptsprachen werden in HTML-E-Mails verwendet, um einen bestimmten Vorgang automatisch auszulösen. Der Browser analysiert und verarbeitet das Skript zusammen mit dem Rest des Dokuments. Das Vorhandensein eines dieser Tags weist auf dynamische Inhalte und die Wahrscheinlichkeit schädlicher Absichten hin. |
2 |
Frame- oder IFrame-Tags in HTML |
Alle Nachrichten, die HTML-Tags vom Typ <Frame> oder <IFrame> verwenden, werden als Spam markiert. Diese Tags werden auf Websites oder in HTML-E-Mails verwendet, um die Seite für das Anzeigen von Texten oder Grafiken zu formatieren. |
3 |
Object-Tags in HTML |
Alle Nachrichten, die das HTML-Tag <Object> enthalten, werden als Spam markiert. Mit diesem HTML-Tag können Plug-Ins oder Anwendungen in einem HTML-Fenster ausgeführt werden. |
4 |
Embed-Tags werden in HTML angezeigt |
Alle Nachrichten, die das HTML-Tag <Embed> enthalten, werden als Spam markiert. Mit diesem HTML-Tag können verschiedene Dokumente unterschiedlicher Datentypen in ein HTML-Dokument eingebettet werden. Dabei handelt es sich beispielsweise um Musik, Filme oder Bilder. |
5 |
Form-Tags werden in HTML angezeigt |
Alle Nachrichten, die das HTML-Tag <Form> enthalten, werden als Spam markiert. Dieses HTML-Tag wird verwendet, um Websiteformulare zu erstellen. E-Mail-Werbung enthält häufig diese Tags. Damit wird versucht, Informationen von Empfängern abzurufen. |
6 |
Web-Bugs in HTML |
Alle Nachrichten, die einen Web-Bug enthalten, werden als Spam markiert. Ein Web-Bug ist eine Grafik, mit der festgestellt wird, ob eine Webseite besucht oder eine E-Mail gelesen wurde. Web-Bugs sind für den Empfänger oft unsichtbar, da sie der Nachricht in der Regel als Grafik hinzugefügt werden, die nur einen mal einen Pixel groß ist. Diese Technik wird möglicherweise auch für zulässige Newsletter verwendet, obwohl dies oftmals als Angriff auf die Privatsphäre betrachtet wird. |
7 |
Liste anstößiger Wörter anwenden |
Alle Nachrichten, die ein Wort aus der Liste anstößiger Wörter enthalten, werden als Spam markiert. Mithilfe der Liste anstößiger Wörter können auf einfache Weise Wörter blockiert werden, die auf Nachrichten mit potenziell anstößigem Inhalt hinweisen. Bei einigen dieser Wörter wird die Groß-/Kleinschreibung berücksichtigt. Administratoren können diese Liste nicht bearbeiten. Die Filterung auf Grundlage der Liste anstößiger Wörter erfolgt sowohl für den Betreff als auch den Text einer Nachricht. |
8, 9 |
SPF-Datensatzprüfung nicht bestanden |
Alle Nachrichten, die die SPF-Datensatzprüfung nicht bestehen, werden als Spam markiert. Der Filter stellt fest, ob die Envelope Sender-Domäne einer eingehenden Nachricht einen SPF-Datensatz ("v=spf1 TXT"-Datensatz) veröffentlicht. Wenn die Envelope Sender-Domäne keinen SPF-Datensatz veröffentlicht, hat dieser Filter keine Auswirkung auf die Filterung der Nachrichten. Wenn die Envelope Sender-Domäne einen SPF-Datensatz veröffentlicht, führt der Filter eine SPF-Überprüfung durch, um zu überprüfen, ob die IP-Adresse, von der aus eine Verbindung hergestellt wird, eine genehmigte Absender-IP-Adresse für diese Domäne ist. Wenn die IP-Adresse, von der aus eine Verbindung hergestellt wird, keine genehmigte Absender-IP-Adresse für diese Domäne ist, wird die E-Mail als Spam markiert. Hinweis Um falsch positive Ergebnisse (seriöse E-Mails, die fälschlicherweise als Spam identifiziert werden) für E-Mails von Ihrem Unternehmen zu vermeiden, sollten Sie sicherstellen, dass der SPF-Datensatz für Ihre Domänen richtig konfiguriert ist. Informationen zum Konfigurieren des SPF-Datensatzes finden Sie unter "SPF-Eintragseinstellungen" für die Filterung ausgehender E-Mails in Bewährte Vorgehensweisen für die FOPE-Konfiguration. |
13 |
Von: Adressauthentifizierung: Hard Fail |
Alle Nachrichten, die den SPF-Authentifizierungsvorgang der Absenderadresse nicht bestehen, werden als Spam markiert. Die Authentifizierung der Absenderadresse ist eine Methode zur Überprüfung des Absenders einer Nachricht. Diese Option verwendet eine SPF-Überprüfung, um Benutzer vor gefälschten Absendern in Nachrichtenheadern zu schützen. Bei einer regulären SPF-Überprüfung wird die Nachricht authentifiziert, indem sichergestellt wird, dass der Envelope-Absender mit der IP-Adresse übereinstimmt, von der die Nachricht gesendet wurde. Dazu wird die übertragende IP-Adresse im SPF-Datensatz des Absenders nachgeschlagen. In vielen Fällen ist der Envelope-Absender jedoch nicht der Absender, der dem Endbenutzer angezeigt wird. Der Endbenutzer sieht im E-Mail-Client die Kopfzeilen "Nachricht von:" und "Nachricht an:" . Die Authentifizierung der Absenderadresse ist für herkömmliche SPF-Überprüfungen vorgesehen. Wenn eine gewöhnliche SPF-Überprüfung den Wert "SPF None", "Neutral", "TempError" oder "PermError" zurückgibt, wird eine zusätzliche SPF-Überprüfung der Domäne im Absenderfeld des Nachrichtenkopfs ausgeführt, sofern dieses Feld vorhanden ist. Wenn dieses Feld nicht vorhanden ist, wird die SPF-Überprüfung mit der Domäne aus dem Absenderfeld im Nachrichtenkopf durchgeführt (die Domäne, die im E-Mail-Client des Endbenutzers angezeigt wird). Die Authentifizierung der Absenderadresse hilft beim Identifizieren und Vermeiden von Ereignissen, bei denen ein Spammer durch Senden von einer Domäne ohne SPF-Datensatz sowohl den Envelope-Absender spooft, als auch die Domäne, die dem Endbenutzer im E-Mail-Client angezeigt wird. Eine herkömmliche SPF-Überprüfung erzielt in diesem Fall keine Ergebnisse, da bei dieser nicht Domänen im Absenderfeld authentifiziert werden. Die Authentifizierung der Absenderadresse erkennt dieses Problem jedoch. Wenn eine Nachricht die Überprüfung nicht besteht, wird diese als Spam gekennzeichnet oder deren Spambewertung erhöht. Die Authentifizierung der Absenderadresse wird übersprungen, wenn das Ergebnis der gewöhnlichen SPF-Überprüfung auf "SPF Pass", "Hard Fail" oder "Soft Fail" lautet. Hinweis Es ist möglich, dass die Authentifizierung der Absenderadresse falsch positive Ergebnisse (seriöse E-Mails, die fälschlicherweise als Spam identifiziert werden) erzielt, da es laut SMTP-Protokoll zulässig ist, Nachrichten mit geändertem "Von"- oder Absenderfeld zu senden. Dies tritt am wahrscheinlichsten bei Newslettern und anderen Massenmails auf. Um zu verhindern, dass Nachrichten von Ihrem Unternehmen als Spam markiert werden, müssen Sie sicherstellen, dass der SPF-Datensatz für Ihre Domänen richtig konfiguriert ist. |
14 |
NDR (Unzustellbarkeitsbericht, Non-delivery Report)-Rückläufer |
Bei dieser Option werden alle Nachrichten als Spam markiert, die die Kriterien für Unzustellbarkeitsberichte (NDR) erfüllen. Kunden, die keine ausgehende Filterung verwenden, müssen diese Option nicht aktivieren, da die NDRs, bei denen es sich um zulässige Unzustellbarkeitsnachrichten handelt, automatisch als solche erkannt und an den ursprünglichen Absender gesendet werden. Gleichzeitig werden alle unzulässigen Unzustellbarkeitsnachrichten, die auch als Rückläufer bezeichnet werden, als Spam markiert. Durch das Aktivieren dieser Option werden alle NDRs als Spam markiert. Dabei ist es unerheblich, ob der Kunde die ausgehende Filterung verwendet und ob der NDR zulässig ist. |
15 |