Grundlegendes zum Spamschutz

  • Artikel

 

Gilt für: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Letzte Änderung des Themas: 2012-02-29

In diesem Thema finden Sie eine Übersicht über die in Microsoft® Forefront® Online Protection für Exchange (FOPE) verfügbaren Antispamfunktionen.

Spamspeicherung und -verwaltung

FOPE bietet vier Optionen zum Verwalten und Speichern von Spam. Die Einstellungen für diese Optionen werden auf Domänenebene verarbeitet.

  1. Konfigurieren von Spamquarantäne: Die Spamquarantäne ist die am häufigsten verwendete Option zum Speichern von Spam, da die E-Mail-Server des Unternehmens mit dieser Einstellung diese Art von E-Mail nicht verarbeiten und speichern müssen. Mit dieser Option ist es außerdem nicht erforderlich, Spamnachrichten auszusortieren. Dies führt letztlich zur Steigerung der Mitarbeiterproduktivität. Bei dieser Option werden als Spam identifizierte E-Mails an das webbasierte Spampostfach des einzelnen Benutzers umgeleitet, das vom FOPE-Dienst gehostet wird. Spamnachrichten werden 15 Tage lang gespeichert und anschließend automatisch gelöscht.

  2. Konfigurieren der X-Kopfzeile in FOPE: Mit dieser Option werden E-Mails normal zugestellt, in die E-Mail-Kopfzeilen wird jedoch ein spezieller X-Spam-Header einfügt. Sie können den vom FOPE-Dienst als Spam identifizierten Nachrichten benutzerdefinierte X-Header-Kommentare hinzufügen. Der X-Header wird dann der Internetkopfzeile aller Spamnachrichten hinzugefügt. Mit der X-Header-Option erhalten Sie verlässliche Informationen über die Anzahl der als Spam gefilterten E-Mails. Sie können außerdem bei Bedarf Mailserverregeln oder clientseitige Regeln erstellen, um mit X-Headern markierte E-Mails zu filtern.

  3. Grundlegendes zur Spamumleitung: Als Spam identifizierte E-Mails werden an eine einzelne SMTP-Adresse innerhalb der Domäne umgeleitet. Sie können diese Nachrichten dann bei Gelegenheit an einem einzelnen Speicherort auf Ihrem Mailserver überprüfen.

  4. Grundlegendes zu "Betreff ändern" in FOPE: Sie können der Betreffzeile von als Spam identifizierten Nachrichten ein bezeichnendes Wort oder einen bezeichnenden Begriff, z. B. SPAM, hinzufügen. Bei Bedarf können anschließend clientseitige Regeln für die Filterung der Spamnachrichten erstellt werden.

Weitere Informationen zu den einzelnen Optionen finden Sie unter Grundlegendes zu Spamaktionseinstellungen in FOPE.

Mehrstufige Verteidigung gegen Junk-E-Mail

Mit seiner proprietären mehrschichtigen Antispamtechnologie erzielt FOPE eine höhere Genauigkeit und trägt so dazu bei, dass unerwünschte E-Mails zuverlässig automatisch gefiltert werden, bevor sie in die Nachrichtensysteme eines Unternehmens gelangen. Sobald eine Domäne für den Dienst konfiguriert und aktiviert wurde, wird ein MX-Eintrag für Ihre Domäne zum Routen von Mails über den FOPE-Dienst ernannt. Danach ist kein weiteres Eingreifen Ihrer IT-Benutzer oder Administratoren erforderlich.

IP-Reputationsblockierung

Die IP-Reputationsblockierung in FOPE bietet eine erste Verteidigungslinie gegen unerwünschte E-Mails. Mithilfe von Verbindungs- und der Reputationsanalysen werden bereits etwa 90 Prozent der eingehenden Junk-E-Mails blockiert.

Verbindungsanalyse

Jede Verbindung mit dem FOPE-Netzwerk wird genau überwacht und entsprechend den vom Verbindungsserver ausgegebenen SMTP-Befehlen ausgewertet. Verbindungsanforderungen, die erheblich von RFC-Standards abweichen, und Spoofing-Verbindungsversuche werden sofort verworfen. Dies hilft Ihnen, Ihre Netzwerke vor diesen ungültigen Verbindungsversuchen zu schützen.

Reputationsanalyse

Die reputationsbasierte Verbindungsblockierung von FOPE verwendet eine proprietäre Liste, die anhand einer Analyse von Verlaufsdaten die Adressen der mit dem Internet verbundenen Computer aufführt, die für den überwiegenden Teil an Spam verantwortlich sind. Durch die fortlaufende Zusammenarbeit mit Microsoft® Windows Live™ Hotmail® vereinigt FOPE die Junk-E-Mail-Daten von Verbrauchern und Unternehmen in einer soliden und umfangreichen Reputationsdatenbank.

FOPE verwendet zudem IP-Reputationsinformationen anderer Unternehmen und ISPs, um erweiterten Schutz vor Angriffen durch bedenkliche IPs und Botnets zu bieten. Diese haben ihren Ursprung in einer Sammlung gefährdeter Computer, auf denen Software in einer gemeinsamen Befehls- und Steuerungsinfrastruktur ausgeführt wird. Spammer erstellen regelmäßig bösartige Websites, die für Phishing und infizierende Malware verwendet werden. Daher nutzt FOPE eine Vielzahl von Quellen für eine schnelle Aktualisierung der Listen mit bekannten bösartigen URLs und der Inhaltsfilter, um die entsprechenden Nachrichten zu blockieren.

Junk-E-Mail-Schutz

Sobald eine Nachricht von der Edge-Blockierung übergeben wird, müssen die folgenden vier zusätzlichen Ebenen der Antispamtechnologie durchlaufen werden:

ASF (Additional Spam Filtering)-Optionen

Viele Kunden wünschen mehr Kontrolle über E-Mails, die möglicherweise anstößige Bilder enthalten, die Privatsphäre verletzen oder Benutzer zum Mitteilen persönlicher Informationen verleiten. Mithilfe der ASF (Additional Spam Filtering)-Funktion in FOPE können Sie Filterflags anwenden und Nachrichten isolieren, die verschiedene Arten von aktivem oder verdächtigem Inhalt enthalten. Ausführliche Informationen über die verfügbaren ASF-Filterflags finden Sie unter Konfigurieren zusätzlicher ASF (Additional Spam Filtering)-Optionen.

IP-basierte Authentifizierung

Der FOPE-Dienst authentifiziert für jede E-Mail die Identität des Absenders. Wenn eine Nachricht nicht authentifiziert werden kann und die Nachricht als von einem Spoof-Absender klassifiziert wird, wird diese eher als Spam bewertet. Mithilfe von Sender Policy Framework (SPF), einem Branchenstandard, der Return Path-Adressfälschungen mithilfe der SMTP-Absenderidentität in E-Mails verhindert, kann Spoofing einfacher identifiziert werden. Anhand von SPF-Suchen kann sichergestellt werden, dass die als Absender aufgeführte Entität auch tatsächlich die E-Mail gesendet hat.

Fingerabdruckverfahren

Wenn Nachrichten bekannte Spameigenschaften enthalten, werden sie identifiziert und mit einem Fingerabdruck versehen. Wenn eine Nachricht einen Fingerabdruck erhält, bekommt sie eine eindeutige ID auf der Grundlage ihres Inhalts. In der Fingerabdruckdatenbank werden alle vom FOPE-System blockierten Spamdaten gesammelt. Dadurch wird das Fingerabdruckverfahren optimiert und verfeinert, und es können mehr Nachrichten verarbeitet werden. Wenn eine Nachricht mit einem bestimmten Fingerabdruck ein zweites Mal in das System gelangt, wird der Fingerabdruck erkannt, und die Nachricht wird als Spam markiert. Das System analysiert die eingehenden Nachrichten fortlaufend, um neue Spammethoden sofort zu erkennen. Das FOPE-Spamanalyseteam analysiert die Fingerabdruckebene, sobald neue Kampagnen erkannt werden.

Bewertung nach Regeln

Der FOPE-Dienst bewertet Nachrichten anhand von mehr als 20.000 Regeln, die die Eigenschaften von Spam- und legitimen E-Mails definieren. Den Bewertungen werden Punkte hinzugefügt, wenn eine Nachricht Spameigenschaften aufweist. Wenn eine Nachricht dagegen Eigenschaften seriöser E-Mails aufweist, werden Punkte entfernt. Wenn die Bewertung einer Nachricht einen definierten Schwellenwert erreicht, wird sie als Spam gekennzeichnet.

FOPE bewertet und kennzeichnet beispielsweise folgende Nachrichteneigenschaften:

  • Begriffe im Nachrichtentext und -betreff, einschließlich URLs

  • HTTP-Verschleierung, durch die Spam-URLs als legitime URLs getarnt werden

  • Ungültige Header, d. h. Header, die falsch formatiert sind

  • E-Mail-Clienttyp

  • Headerformationen, z. B. Nachrichten-ID, Empfangen, zufällige Zeichen

  • Ursprünglicher E-Mail-Server

  • Ursprünglicher E-Mail-Agent

  • Absender- und SMTP-Absenderadresse

Die aktuellen Regeln werden täglich geändert und bei Bedarf vom Spam-Team neu erstellt.

Mindern der Unzustellbarkeitsbericht-Rückläufer

Ein plötzlicher Anstieg von Unzustellbarkeitsberichten (Non-Delivery Reports, NDRs) kann verschiedene Ursachen mit Auswirkungen auf E-Mail-Umgebungen haben. Beispielsweise könnte eine der E-Mail-Adressen der Domäne von einer Spoofing-Kampagne betroffen sein. Sie könnte auch als Quelladresse für einen Verzeichnisdiebstahl-Angriff verwendet werden. Diese Probleme können dazu führen, dass die Anzahl von Unzustellbarkeitsberichten, die an die Endbenutzer übermittelt werden, plötzlich ansteigt. NDR-Rückläufer, viele Nachrichten, die empfangen werden, wenn eine E-Mail-Adresse zum Senden von Spam gefälscht wird, sind für viele Unternehmen zum Problem geworden. Zusätzlich zu den NDR-Erkennungsregeln können die Rückläufer mithilfe einer zusätzlichen FOPE-Spamfilterungsregel blockiert werden. Bei dieser Option werden NDR-Nachrichten herausgefiltert und in die Quarantäne verschoben.

Für Kunden, die die ausgehende Filterung verwenden, werden NDRs, bei denen es sich um legitime Unzustellbarkeitsberichte handelt, ermittelt und ohne Aktivierung der zusätzlichen Spamfilterungsoption an den ursprünglichen Absender übermittelt. Für Kunden der ausgehenden Filterung ist die intelligente Erkennung legitimer NDRs in der Standardeinstellung aktiviert.

Siehe auch

Konzepte

Grundlegendes zur ausgehenden Spamfilterung
Grundlegendes zur Genauigkeit und Effektivität des Spamschutzes

Andere Ressourcen

Massen-E-Mail-Filterung in FOPE (möglicherweise in englischer Sprache)