Grundlegendes zur Verbindungsfilterung
Gilt für: Exchange Server 2010
Letztes Änderungsdatum des Themas: 2010-01-22
Der Verbindungsfilter-Agent ist ein Antispam-Agent, der auf Computern mit Microsoft Exchange Server 2010 aktiviert ist, auf denen die Edge-Transport-Serverrolle installiert ist. Der Verbindungsfilter-Agent verwendet die IP-Adresse des Remoteservers, der versucht, eine Verbindung herzustellen, um gegebenenfalls die Aktion zu bestimmen, die auf eine eingehende Nachricht angewendet werden soll. Die Remote-IP-Adresse steht dem Verbindungsfilter-Agent als Nebenprodukt der zugrunde liegenden TCP-/IP-Verbindung zur Verfügung, die für die SMTP-Sitzung erforderlich ist. Da der Verbindungsfilter-Agent die Gültigkeit der IP-Adresse des Remoteservers, von dem die Nachricht gesendet wird, auswerten muss, wird er normalerweise auf dem Edge-Transport-Server aktiviert, der über eine Verbindung mit dem Internet verfügt. Sie können aber auch zusätzliche Konfigurationen vornehmen, damit der Verbindungsfilter-Agent tiefer im Pfad der eingehenden Nachrichten ausgeführt wird.
Beim Konfigurieren von Antispam-Agents auf einem Edge-Transport-Server bearbeitet der Agent Nachrichten kumulativ, um die Anzahl der unerwünschten Nachrichten zu verringern, die in die Organisation gelangen. Zur Verringerung der Redundanz sowie zur Verbesserung der Gesamtleistung und Effizienz des Systems müssen Sie verstehen, in welcher Reihenfolge die Agents eingehende Nachrichten bewerten. Das Verständnis der Reihenfolge, in der eingehende Nachrichten von den Filtern bewertet werden, hilft Ihnen dabei, Ihre Konfiguration der Edge-Transport-Server zu optimieren. Weitere Informationen über das Planen und Bereitstellen von Antispam-Agents finden Sie unter Grundlegendes zur Antispam- und Antivirusfunktionalität.
Wenn der Verbindungsfilter-Agent aktiviert wird, ist er der erste Antispam-Agent, der ausgeführt wird, wenn eine eingehende Nachricht bewertet wird.
Wenn eine eingehende Nachricht an den Edge-Transport-Server übermittelt wird, auf dem der Verbindungsfilter-Agent aktiviert ist, wird die IP-Adresse der SMTP-Verbindung mit IP-Zulassungs- und IP-Sperrlisten abgeglichen. Wenn die Quell-IP-Adresse in einer IP-Zulassungsliste gefunden wird, wird die Nachricht ohne weitere Verarbeitung durch andere Antispam-Agents an ihr Ziel gesendet. Wird die IP-Adresse auf einer IP-Sperrliste gefunden, wird die SMTP-Verbindung nach Verarbeitung aller RCPT TO-Kopfzeilen der Nachricht unterbrochen.
Hinweis
Das Timing, mit dem eine bestimmte Verbindung unterbrochen wird, kann von weiteren Antispamkonfigurationen abhängig sein. So können Sie beispielsweise angeben, welche Empfänger immer E-Mail-Nachrichten empfangen dürfen sollen, selbst wenn die Quell-IP-Adresse geblockt ist. Zusätzlich können auch weitere Agents konfiguriert sein, die die zu analysierenden Inhalte des DATA-Befehls verwenden. Der Verbindungsfilter-Agent unterbricht Verbindungen immer gemäß der Antispam-Gesamtkonfiguration.
Wenn die Quell-IP-Adresse weder auf einer IP-Zulassungs- noch auf einer IP-Sperrliste zu finden ist, wird die Nachricht an weitere Antispam-Agents übergeben, wenn solche konfiguriert sind.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Antispam- und Antivirenfunktionen gibt? Informationen hierzu finden Sie unter Verwalten der Antispam- und Antivirenfunktionen.
Inhalt
IP-Zulassungslisten und IP-Sperrlisten
Konfigurieren der Verbindungsfilterung für Edge-Transport-Server, die nicht der erste SMTP-Eingangspunkt sind
Testen der Funktionalität von IP-Sperrlisten und IP-Zulassungslisten
IP-Zulassungslisten und IP-Sperrlisten
Der Verbindungsfilter-Agent vergleicht die IP-Adresse des Servers, von dem eine Nachricht gesendet wird, mit den folgenden Datenspeichern mit IP-Adressen:
- Vom Administrator definierte IP-Zulassungslisten und IP-Sperrlisten
- Anbieter für geblockte IP-Adressen
- Anbieter für zugelassene IP-Adressen
Weitere Informationen zu Anbietern für geblockte IP-Adressen finden Sie weiter unten in diesem Thema unter "Anbieter für geblockte IP-Adressen".
Mindestens einer dieser Datenspeicher mit IP-Adressen muss konfiguriert werden, damit der Verbindungsfilter-Agent funktioniert. Wenn die Datenspeicher mit IP-Adressen nicht die IP-Adressen aus den IP-Zulassungs- oder IP-Sperrlisten enthalten, oder wenn Sie keine IP-Sperrlistenanbieter oder Anbieter für zugelassene IP-Adressen konfiguriert haben, sollte der Verbindungsfilter-Agent deaktiviert werden.
Vom Administrator definierte IP-Zulassungslisten und IP-Sperrlisten
Administratoren von Edge-Transport-Servern pflegen vom Administrator definierte Listen von IP-Adressen. IP-Adressen, die zugelassen oder blockiert werden sollen, können mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell eingegeben und gelöscht werden. IP-Adressen können einzeln, als IP-Adressbereich oder als IP-Adresse und Subnetmask hinzugefügt werden.
Beim Hinzufügen einer einzelnen IP-Adresse oder eines IP-Adressbereichs müssen Sie die IP-Adresse bzw. den IP-Adressbereich als Adresse einer IP-Sperrliste oder IP-Zulassungsliste angeben. Zusätzlich können Sie einen Ablaufzeitpunkt für jeden erstellten IP-Sperrlisteneintrag angeben. Beim Festlegen eines Ablaufzeitpunkts gibt dieser an, wie lange der IP-Sperrlisteneintrag aktiv bleibt. Bei Erreichen des Ablaufzeitpunkts wird der IP-Sperrlisteneintrag deaktiviert.
Durch die Verwendung der vom Administrator definierten IP-Zulassungs- und IP-Sperrlisten kann die Verbindungsfilterung für die Unterstützung der folgenden Szenarios konfiguriert werden:
- Ausschließen von IP-Adressen aus den IP-Sperrlisten von IP-Sperrlistenanbietern
Möglicherweise müssen IP-Adressen aus den IP-Sperrlisten von IP-Sperrlistenanbietern ausgeschlossen werden, wenn rechtmäßige Absender unabsichtlich in eine IP-Sperrliste eines IP-Sperrlistenanbieters aufgenommen werden. Beispielsweise können rechtmäßige Absender irrtümlich in eine IP-Sperrliste aufgenommen werden, wenn ein SMTP-Server unbeabsichtigt für offenes Relay konfiguriert wurde. In diesem Szenario wird der Absender wahrscheinlich versuchen, die Fehlkonfiguration zu korrigieren und die IP-Adresse aus der IP-Sperrliste des IP-Sperrlistenanbieters zu entfernen.
Weitere Informationen zu Anbietern für geblockte IP-Adressen finden Sie weiter unten in diesem Thema unter "Anbieter für geblockte IP-Adressen". - Verweigern des Zugriffs von IP-Adressen, die eine Quelle für unerwünschte E-Mail-Nachrichten sind, jedoch nicht in einer IP-Sperrliste eines IP-Sperrlistenanbieters gefunden werden
Es ist möglich, dass Sie eine große Menge unerwünschter Nachrichten von einer Quelle erhalten, die noch nicht von einem abonnierten Echtzeitsperrlisten-Dienst (Real-Time Block List, RBL) identifiziert wurde.
Anbieter für geblockte IP-Adressen
Anbieterdienste für geblockte IP-Adressen können bei der Verringerung der Anzahl unerwünschter E-Mail-Nachrichten, die in Ihrer Organisation eingehen, helfen.
Hinweis
IP-Sperrlistenanbieter werden häufig auch als Echtzeit-Sperrlistendienste (Real-Time Block List, RBL) bezeichnet. In der Exchange-Verwaltungskonsole werden Echtzeit-Sperrlistendienste als Dienste für IP-Sperrlistenanbieter bezeichnet. Die Begriffe Echtzeit-Sperrlistendienste, RBL-Dienste und Dienste für IP-Sperrlistenanbieter werden äquivalent verwendet.
Anbieterdienste für geblockte IP-Adressen stellen Listen von IP-Adressen zusammen, von denen in der Vergangenheit Spam ausgegangen ist. Zusätzlich stellen manche Anbieter für geblockte IP-Adressen Listen von IP-Adressen zur Verfügung, bei denen SMTP als offenes Relay konfiguriert ist. Es gibt auch Anbieterdienste für geblockte IP-Adressen, die Listen von IP-Adressen bereitstellen, die DFÜ-Zugriff unterstützen. Internetdienstanbieter (Internet Service Provider, ISP), die ihren Kunden DFÜ-Zugriffsdienste zur Verfügung stellen, weisen jeder DFÜ-Sitzung dynamische IP-Adressen zu. Einige ISPs blocken SMTP-Verkehr von DFÜ-Konten. Diese ISPs sowie die dazugehörigen DFÜ-IP-Bereiche werden normalerweise nicht in IP-Sperrlisten aufgenommen. Manche ISPs gestatten aber Clients das Senden von SMTP-Verkehr über DFÜ-Konten. Böswillige Benutzer profitieren von ISPs, die SMTP-Verkehr zulassen, indem sie Spam von dynamisch zugewiesenen IP-Adressen senden. Wenn die IP-Adresse dann in eine IP-Sperrliste aufgenommen wird, startet der böswillige Benutzer eine neue DFÜ-Sitzung und erhält eine neue IP-Adresse. Häufig kann ein einzelner Anbieter für geblockte IP-Adressen eine Liste von IP-Adressen bereitstellen, die all diese Spambedrohungen abdeckt.
Sie können mithilfe der Exchange-Verwaltungskonsole oder Shell mehrere IP-Sperrlistenanbieter konfigurieren. Jeder Dienst benötigt eine gesonderte Konfiguration des IP-Sperrlistenanbieters in der Exchange-Verwaltungskonsole oder Shell.
Wenn der Verbindungsfilter-Agent für die Verwendung eines Anbieters für geblockte IP-Adressen konfiguriert wird, fragt der Agent den Anbieterdienst für geblockte IP-Adressen ab, um zu ermitteln, ob für die IP-Adressen, die eine Verbindung herstellen, eine Entsprechung vorhanden ist, bevor die Nachricht in die Organisation eingelassen wird.
Bevor der Verbindungsfilter-Agent zur Überprüfung einer IP-Adresse den Anbieter für geblockte IP-Adressen kontaktiert, wird die IP-Adresse mit der vom Administrator definierten IP-Zulassungs- und IP-Sperrliste verglichen. Wenn die IP-Adresse weder in der vom Administrator definierten IP-Zulassungs- noch in der IP-Sperrliste vorhanden ist, fragt der Verbindungsfilter-Agent die Dienste für IP-Sperrlistenanbieter in der Reihenfolge der jedem Anbieter zugewiesenen Prioritätsbewertung ab. Wenn die IP-Adresse auf der IP-Sperrliste eines Anbieters für geblockte IP-Adressen vorhanden ist, wartet der Edge-Transport-Server auf die RCPT TO-Kopfzeile, analysiert diese, antwortet dem Absendersystem mit einem SMTP-Fehler 550 und beendet die Verbindung. Wird die IP-Adresse in keiner IP-Sperrliste der IP-Sperrlistenanbieter gefunden, verarbeitet der nächste Agent in der Antispamkette die Verbindung. Weitere Informationen zur Reihenfolge, in der standardmäßige Antispam- und Antivirus-Agents eingehende Nachrichten aus dem Internet filtern, finden Sie unter Grundlegendes zur Antispam- und Antivirusfunktionalität.
Wenn Sie den Verbindungsfilter-Agent einsetzen, sollten Sie mindestens einen IP-Sperrlistenanbieter für die Verwaltung des Zugriffs auf Ihre Organisation verwenden. Die Verwendung der von einem Administrator definierten Sperrliste zur Verwaltung Ihrer eigenen IP-Sperrliste ist zeitaufwendig und kann hinsichtlich der notwendigen Personalressourcen in den meisten Organisationen unmöglich sein. Daher wird die Verwendung eines externen Diensts für IP-Sperrlistenanbieter empfohlen, dessen einziger Zweck die Verwaltung von IP-Sperrlisten ist.
Mit der Verwendung eines Anbieters für geblockte IP-Adressen können aber auch Nachteile verbunden sein. Da der Verbindungsfilter-Agent für jede unbekannte IP-Adresse eine externe Organisation abfragen muss, können Ausfälle oder Verzögerungen bei dem Anbieterdienst für geblockte IP-Adressen zu Verzögerungen bei der Verarbeitung von Nachrichten auf dem Edge-Transport-Server führen. In Extremfällen könnten solche Ausfälle oder Verzögerungen zu einem Engpass bei der Nachrichtenübermittlung auf dem Edge-Transport-Server führen.
Der andere Nachteil bei der Verwendung eines externen Anbieterdiensts für geblockte IP-Adressen besteht darin, dass rechtmäßige Absender manchmal irrtümlich der IP-Sperrliste von Anbietern für geblockte IP-Adressen hinzugefügt werden. Rechtmäßige Absender können z. B. als Folge einer SMTP-Fehlkonfiguration, bei welcher der SMTP-Server unbeabsichtigterweise als offenes Relay konfiguriert wurde, zu IP-Sperrlisten hinzugefügt werden, die von IP-Sperrlistenanbietern verwaltet werden.
Für jeden konfigurierten Dienst für IP-Sperrlistenanbieter können Sie den SMTP-Fehler 550 anpassen, der an den Absender zurückgegeben wird, wenn die Absender-IP-Adresse bei einem Dienst für IP-Sperrlistenanbieter gefunden und daraufhin vom Verbindungsfilter-Agent blockiert wird. Der SMTP-Fehler 550 sollte so angepasst werden, dass der Dienst für IP-Sperrlistenanbieter angegeben wird, von dem der Absender als blockierte IP-Adresse identifiziert wird. Diese bewährte Methode erlaubt es legitimen Absendern, sich mit dem Dienst für IP-Sperrlistenanbieter in Verbindung zu setzen, um sich aus der IP-Sperrliste des Diensts für IP-Sperrlistenanbieter entfernen zu lassen.
Verschiedene Dienste für IP-Sperrlistenanbieter können unterschiedliche Codes zurückgeben, wenn die IP-Adresse eines Remoteservers, von dem eine Nachricht gesendet wird, einer IP-Adresse in der IP-Sperrliste eines Diensts für IP-Sperrlistenanbieter entspricht. Die meisten Dienste für IP-Sperrlistenanbieter geben einen der folgenden Datentypen zurück: Bitmaske oder absoluter Wert. Innerhalb dieser Datentypen können mehrere Werte vorhanden sein, die den Typ der Liste angeben, in der die übermittelte IP-Adresse gefunden wurde.
Bitmasken-Beispiel
Dieser Abschnitt enthält ein Beispiel der Statuscodes, die von den meisten IP-Sperrlistenanbietern zurückgegeben werden. Einzelheiten zu den vom Anbieter zurückgegebenen Statuscodes finden Sie in der Dokumentation des jeweiligen Anbieters.
Bei Bitmasken-Datentypen gibt der Dienst für IP-Sperrlistenanbieter den Statuscode "127.0.0.x" zurück, wobei die ganze Zahl x einem der in der folgenden Tabelle aufgeführten Werte entspricht.
Werte und Statuscodes für Bitmasken-Datentypen
| Wert | Statuscode |
|---|---|
1 |
Die IP-Adresse steht in einer IP-Sperrliste. |
2 |
Der SMTP-Server ist als offenes Relay konfiguriert. |
4 |
Die IP-Adresse unterstützt eine Einwähl-IP-Adresse. |
Bei "Absoluter Wert"-Datentypen gibt der Dienst für IP-Sperrlistenanbieter explizite Antworten zurück, die auf dem Grund für das Blockieren der IP-Adresse basieren. In der folgenden Tabelle werden einige Beispiele für absolute Werte mit den dazugehörigen expliziten Antworten dargestellt.
Werte und Statuscodes für "Absoluter Wert"-Datentypen
| Wert | Explizite Antwort |
|---|---|
127.0.0.2 |
Die IP-Adresse ist eine direkte Spamquelle. |
127.0.0.4 |
Die IP-Adresse ist ein Massenversender von E-Mails. |
127.0.0.5 |
Der Remoteserver, von dem die Nachricht gesendet wird, ist dafür bekannt, dass er mehrstufige offene Relays unterstützt. |
Anbieter für zugelassene IP-Adressen
Eingehende Nachrichten können auch mithilfe von Anbieterdiensten für zugelassene IP-Adressen, die IP-Zulassungslisten bereitstellen, verwaltet werden. IP-Zulassungslisten werden in der Softwarebranche manchmal auch als "IP-Listen sicherer Absender" (Safe Lists) oder "weiße Listen" bezeichnet. Anbieter für zugelassene IP-Adressen pflegen Listen von IP-Adressen, von denen sicher bekannt ist, dass sie mit keiner Spamaktivität in Zusammenhang stehen. Wenn ein Anbieter für zugelassene IP-Adressen eine IP-Zulassungsentsprechung zurückgibt, die anzeigt, dass die IP-Adresse des Absenders eher ein vertrauenswürdiger bzw. sicherer Absender ist, leitet der Verbindungsfilter-Agent die Nachricht an den nächsten Agent in der Antispamkette weiter.
Nach oben
Konfigurieren der Verbindungsfilterung für Edge-Transport-Server, die nicht der erste SMTP-Eingangspunkt sind
In manchen Organisationen ist die Edge-Transport-Serverrolle auf Computern installiert, die SMTP-Anforderungen nicht direkt im Internet verarbeiten. In diesem Szenario befindet sich der Edge-Transport-Server hinter einem anderen SMTP-Front-End-Server, der direkt über das Internet eingehende Nachrichten verarbeitet. In diesem Szenario muss der Verbindungsfilter-Agent in der Lage sein, die richtige Absender-IP-Adresse aus der Nachricht zu extrahieren. Um die Absender-IP-Adresse extrahieren und auswerten zu können, muss der Verbindungsfilter-Agent die Received-Kopfzeilen der Nachricht analysieren und diese Kopfzeilen mit dem bekannten SMTP-Server im Umkreisnetzwerk vergleichen.
Wenn ein RFC-konformer SMTP-Server eine Nachricht empfängt, aktualisiert der Server die Received-Kopfzeile der Nachricht mit dem Domänennamen und der IP-Adresse des Absenders. Deshalb fügt der SMTP-Server für jeden SMTP-Server, der sich zwischen dem ursprünglichen Absender und dem Edge-Transport-Server befindet, der Received-Kopfzeile einen zusätzlichen Eintrag hinzu.
Wenn Sie Ihr Umkreisnetzwerk für die Unterstützung von Exchange 2010 konfigurieren, müssen Sie alle IP-Adressen der in Ihrem Umkreisnetzwerk vorhandenen SMTP-Server angeben. Die IP-Adressdaten werden von EdgeSync auf die Edge-Transport-Server repliziert. Wenn der Computer, auf dem der Verbindungsfilter-Agent ausgeführt wird, Nachrichten empfängt, wird von der IP-Adresse in der Received-Kopfzeile, die keiner SMTP-Server-IP-Adresse in Ihrem Umkreisnetzwerk entspricht, angenommen, dass es sich um die Ursprungs-IP-Adresse handelt.
Sie müssen alle internen SMTP-Server des Konfigurationsobjekts für den Transport in der Active Directory-Gesamtstruktur angeben, bevor Sie die Verbindungsfilterung ausführen. Geben Sie die internen SMTP-Server mithilfe des Parameters InternalSMTPServers des Cmdlets Set-TransportConfig an.
Nach oben
Testen der Funktionalität von IP-Sperrlisten und IP-Zulassungslisten
Nach der Konfiguration eines Diensts für IP-Sperrlistenanbieter oder Anbieterdiensts für zugelassene IP-Adressen können Sie testen, ob die Verbindungsfilterung für den jeweiligen Dienst richtig konfiguriert ist. Die meisten Dienste für IP-Sperrlistenanbieter bzw. Anbieterdienste für zugelassene IP-Adressen stellen Test-IP-Adressen zur Verfügung, mit denen Sie Ihre Dienste testen können. Wenn Sie einen Testlauf mit einem Dienst für IP-Sperrlistenanbieter bzw. Anbieterdienst für zugelassene IP-Adressen ausführen, sendet der Verbindungsfilter-Agent eine DNS-Abfrage (Domain Name System) mit einer Echtzeit-Sperrlisten-IP-Adresse, die eine Reaktion mit einer bestimmten Antwort auslösen sollte. Weitere Informationen zum Testen von IP-Adressen bei Verwendung eines Diensts für IP-Sperrlistenanbieter bzw. eines Anbieterdiensts für zugelassene IP-Adressen finden Sie unter Test-IPAllowListProvider and Test-IPBlockListProvider.
Nach oben