Verbindungsfilterung auf Edge-Transport-Servern in Exchange Server

Verbindungsfilterung ist ein Antispamfeature in Exchange Server, das E-Mails basierend auf der Nachrichtenquelle zulässt oder blockiert. Die Verbindungsfilterung wird vom Verbindungsfilter-Agent ausgeführt, der nur auf Edge-Transport-Servern verfügbar ist und im Wesentlichen seit Exchange Server 2010 unverändert ist. Der Verbindungsfilter-Agent verwendet die IP-Adresse des E-Mail-Servers, um zu bestimmen, welche Aktion ggf. für eine eingehende Nachricht ausgeführt werden soll.

Der Verbindungsfilter-Agent ist standardmäßig der erste Antispam-Agent, der eine auf dem Edge-Transport-Server eingehende Nachricht auswertet. Die IP-Quelladresse der SMTP-Verbindung wird mit den zugelassenen und blockierten IP-Adressen abgeglichen. Wenn die IP-Quelladresse ausdrücklich zulässig ist, wird die Nachricht ohne weitere Verarbeitung durch andere Antispam-Agents an die Empfänger in Ihrer Organisation gesendet. Wenn die IP-Quelladresse ausdrücklich blockiert ist, wird die SMTP-Verbindung beendet. Wenn die IP-Quelladresse weder ausdrücklich zulässig noch blockiert ist, durchläuft die Nachricht die anderen Antispam-Agents auf dem Edge-Transport-Server.

Die Verbindungsfilterung vergleicht die IP-Adresse des Quell-E-Mail-Servers mit den Werten in der IP-Positivliste, der IP-Sperrliste, den Anbietern für zugelassene IP-Adressen und den Anbietern von IP-Sperrlisten. Sie müssen mindestens eine dieser vier IP-Adressdatenspeicher konfigurieren, damit die Verbindungsfilterung funktioniert. Wenn Sie keine IP-Adressdaten angeben, müssen Sie den Verbindungsfilter-Agent deaktivieren. Weitere Informationen finden Sie unter Verbindungsfilterverfahren auf Edge-Transport-Servern.

IP-Sperrliste

Die IP-Sperrliste enthält die IP-Adressen von E-Mail-Servern, die Sie blockieren möchten. Sie verwalten die IP-Adressen in der IP-Sperrliste manuell. Sie können einzelne IP-Adressen oder IP-Adressbereiche hinzufügen. Sie können einen Ablaufzeitraum angeben, die bestimmt, wie lange der IP-Adresseintrag blockiert wird. Wenn die Ablaufzeit erreicht ist, wird der IP-Adresseintrag in der IP-Sperrliste deaktiviert.

Wenn der Verbindungsfilter-Agent die Quell-IP-Adresse in der IP-Sperrliste findet, wird die SMTP-Verbindung gelöscht, nachdem alle RCPT TO-Header (Umschlagempfänger) in der Nachricht verarbeitet wurden.

IP-Adressen können auch automatisch der IP-Sperrliste durch das Feature Absenderzulässigkeit des Protokollanalyse-Agents hinzugefügt werden. Weitere Informationen finden Sie unter Absenderzuverlässigkeit und der Protokollanalyse-Agent.

IP-Zulassungsliste

Die IP-Positivliste enthält die IP-Adressen von E-Mail-Servern, die Sie als vertrauenswürdige E-Mail-Quellen festlegen möchten. Email von E-Mail-Servern, die Sie in der IP-Positivliste angeben, sind von der Verarbeitung durch andere Exchange-Antispam-Agents ausgenommen.

Sie verwalten die IP-Adressen in der ZUGELASSENEN IP-Liste manuell. Sie können einzelne IP-Adressen oder IP-Adressbereiche hinzufügen. Sie können einen Ablaufzeitraum angeben, die bestimmt, wie lange der IP-Adresseintrag zugelassen wird. Wenn die Ablaufzeit erreicht ist, wird der Eintrag in der IP-Positivliste deaktiviert.

Anbieter von IP-Sperrlisten

Anbieter von IP-Sperrlisten werden häufig als Echtzeitblocklisten oder RBLs bezeichnet. Ip-Blocklistenanbieter kompilieren Listen von E-Mail-Server-IP-Adressen, die Spam senden. Viele Anbieter von IP-Sperrlisten kompilieren auch Listen von E-Mail-Server-IP-Adressen, die für Spam verwendet werden könnten. Beispiele hierfür sind E-Mail-Server, die für open relay konfiguriert sind, Internetdienstanbieter (ISPs), die dynamische IP-Adressen zuweisen, und ISPs, die SMTP-Mailserverdatenverkehr von DFÜ-Konten zulassen.

Wenn Sie die Verbindungsfilterung für die Verwendung eines IP-Blocklistanbieters konfigurieren, vergleicht der Verbindungsfilter-Agent die IP-Adresse des E-Mail-Servers, der eine Verbindung herstellt, mit der Liste der IP-Adressen beim Anbieter für ip-Sperrlisten. Bei einer Übereinstimmung gelangt die Nachricht nicht in Ihre Organisation. Sie können die Verbindungsfilterung so konfigurieren, dass mehrere Anbieter von IP-Sperrlisten verwendet werden, und Sie weisen jedem Anbieter unterschiedliche Prioritätswerte zu.

Der Verbindungsfilter-Agent überprüft die Quell-IP-Adresse in der IP-Positivliste und der IP-Sperrliste. Wenn die IP-Adresse in keiner liste vorhanden ist, fragt der Verbindungsfilter-Agent den Anbieter für IP-Sperrlisten entsprechend dem prioritätsbasierten Wert ab, den Sie zugewiesen haben. Wenn die IP-Adresse bei einem IP-Blocklistanbieter definiert ist, wartet der Edge-Transport-Server auf den RCPT TO-Header und verarbeitet diesen, antwortet auf den sendenden E-Mail-Server mit einem SMTP 550 Fehler und schließt die Verbindung. Die Verbindung wird nicht sofort gelöscht, sodass der Verbindungsversuch protokolliert werden kann, und weil Sie Empfänger angeben können, die davon ausgenommen sind, dass Nachrichten von ip-Sperrlistenanbietern blockiert werden.

Wenn die IP-Adresse bei keinem der IP-Sperrlistenanbieter definiert ist, übergibt der Inhaltsfilter-Agent die Nachricht an den nächsten Transport-Agent auf dem Edge-Transport-Server.

Für jeden IP-Sperrlistenanbieter können Sie den Fehler anpassen, der SMTP 550 an den Absender zurückgegeben wird, wenn eine Nachricht blockiert wird. Sie sollten den IP-Sperrlistenanbieter identifizieren, der die Nachrichtenquelle als Spam identifiziert hat. Wenn ein legitimer Quell-E-Mail-Server fälschlicherweise als Spamquelle identifiziert wird, kann sich der Administrator an den IP-Blocklistanbieter wenden und die erforderlichen Schritte ausführen, um den E-Mail-Server aus dem Anbieter für IP-Sperrlisten zu entfernen.

Anbieter von IP-Sperrlisten können verschiedene Codes zurückgeben, um zu ermitteln, warum eine IP-Adresse in ihren Listen definiert ist. Die meisten Anbieter von IP-Sperrlisten geben Bitmasken- oder Absolute-Value-Datentypen zurück. Innerhalb dieser Datentypen kann der IP-Sperrlistenanbieter mehrere Werte verwenden, um die IP-Adresse nach Bedrohungstyp zu klassifizieren.

Es gibt Probleme, die bei der Verwendung von IP-Sperrlistenanbietern zu berücksichtigen sind:

  • Ausfälle oder Verzögerungen beim Ip-Blocklistenanbieterdienst können zu Verzögerungen bei der Verarbeitung von Nachrichten auf dem Edge-Transport-Server führen. Sie sollten immer zuverlässige IP-Sperrlistenanbieter auswählen.

  • Quellserver, die Sie als legitim einschätzen, können fälschlicherweise als Spamquellen gekennzeichnet werden. Der Mailserver kann beispielsweise unbeabsichtigt für offenes Relay konfiguriert sein. Sie sollten immer IP-Sperrlistenanbieter auswählen, die klare Verfahren für die Auswertung und Entfernung von ihren Diensten bereitstellen.

Beispiele für Bitmasken und absolute Werte

Dieser Abschnitt zeigt ein Beispiel für die Statuscodes, die von den meisten Blocklistenanbietern zurückgegeben werden. Einzelheiten zu den vom Anbieter zurückgegebenen Statuscodes finden Sie in der Dokumentation des jeweiligen Anbieters.

Für Bitmaskendatentypen gibt der Ip-Sperrlistenanbieterdienst den Statuscode 127.0.0 zurück. x, wobei die ganze Zahl x einem der in der folgenden Tabelle aufgeführten Werte entspricht.

Werte und Statuscodes für Bitmasken-Datentypen

Wert Statuscode
1 Die IP-Adresse befindet sich in einer IP-Sperrliste.
2 Der SMTP-Server ist als offenes Relay konfiguriert.
4 Die IP-Adresse unterstützt eine Einwähl-IP-Adresse.

Bei Absoluten-Werttypen gibt der IP-Sperrlistenanbieter explizite Antworten zurück, die definieren, warum die IP-Adresse in der Sperrliste definiert ist. Die folgende Tabelle enthält Beispiele für absolute Werte und die dazugehörigen expliziten Antworten.

Werte und Statuscodes für "Absoluter Wert"-Datentypen

Wert Explizite Antwort
127.0.0.2 Die IP-Adresse ist eine direkte Spamquelle.
127.0.0.4 Die IP-Adresse ist ein Massenversender von E-Mails.
127.0.0.5 Der Remoteserver, von dem die Nachricht gesendet wird, ist dafür bekannt, dass er mehrstufige offene Relays unterstützt.

Ip-Zulassungslistenanbieter

Ip-Zulassungslistenanbieter werden auch als sichere Listen bezeichnet. Anbieter zugelassener IP-Adressen werden genau wie IP-Sperrlistenanbieter konfiguriert, aber die Ergebnisse sind das Gegenteil: Sie definieren E-Mail-Server-IP-Adressen, die definitiv nicht mit Spamaktivitäten verknüpft sind. Wenn die IP-Adresse des verbindenden E-Mail-Servers bei einem IP-Allowlis-Anbieter definiert ist, ist die Nachricht von der Verarbeitung durch andere Exchange Antispam-Agents ausgenommen. Aus diesem Grund werden IP-Sperrlistenanbieter viel häufiger verwendet als IP-Allowlis-Anbieter. Wählen Sie Ihre IP-Allowlis-Anbieter sorgfältig aus.

Testen von IP-Sperrlistenanbietern und IP-Allowlis-Anbietern

Nachdem Sie die Verbindungsfilterung so konfiguriert haben, dass ein ANBIETER von IP-Sperrlisten oder ein Anbieter für zugelassene IP-Adressen verwendet wird, können Sie Tests ausführen, um zu überprüfen, ob die Anbieter ordnungsgemäß funktionieren. Die meisten Anbieter stellen Test-IP-Adressen bereit, mit denen Sie ihre Dienste testen können. Wenn Sie einen Anbieter testen, gibt der Verbindungsfilter-Agent eine DNS-Abfrage aus, die zu einer bestimmten Antwort des Anbieters führen sollte. Weitere Informationen zum Testen von IP-Adressen für einen IP-Blocklistanbieterdienst oder einen IP-Allowlis-Anbieterdienst finden Sie unter Verbindungsfilterverfahren auf Edge-Transport-Servern.

Konfigurieren der Verbindungsfilterung für Edge-Transport-Server, die nicht direkt mit dem Internet verbunden sind

Sie können die Verbindungsfilterung auf Edge-Transport-Servern nutzen, die E-Mail-Nachrichten nicht direkt aus dem Internet empfangen. In diesem Szenario befindet sich der Edge-Transport-Server hinter einem anderen Mailserver, der direkt über das Internet eingehende Nachrichten empfängt und verarbeitet. Beispielsweise kann Ihre Organisation E-Mail-Datenverkehr über einen Antispamserver, dienst oder eine Appliance senden, bevor die Nachrichten den Edge-Transport-Server erreichen. In diesem Szenario muss der Verbindungsfilter-Agent in der Lage sein, die richtige IP-Quelladresse aus der Nachricht zu extrahieren. Hierzu muss der Verbindungsfilter-Agent die Werte im Kopfzeilenfeld Received der Nachricht analysieren und diese Werte mit den bekannten IP-Adressen des Mailservers vergleichen, der sich zwischen dem Edge-Transport-Server und Internet befindet.

Jeder Mailserver, der eine SMTP-Nachricht akzeptiert und über den Übermittlungspfad weiterleitet, fügt der Nachrichtenkopfzeile ein eigenes Kopfzeilenfeld Received hinzu. Die Kopfzeile Received enthält meist den Domänennamen und die IP-Adresse des Mailservers, der die Nachricht verarbeitet hat.

Wenn der Edge-Transport-Server Nachrichten nicht direkt aus dem Internet akzeptiert, müssen Sie den Parameter InternalSMTPServers im Cmdlet Set-TransportConfig auf einem Exchange-Postfachserver verwenden, um die IP-Adresse des E-Mail-Servers zu identifizieren, der sich zwischen dem Edge-Transport-Server und dem Internet befindet. Die IP-Adressdaten werden von EdgeSync auf die Edge-Transport-Server repliziert. Wenn Nachrichten vom Edge-Transport-Server empfangen werden, geht der Verbindungsfilter-Agent davon aus, dass eine IP-Adresse in einem Empfangenen Headerfeld, die nicht mit einem wert übereinstimmt, der durch den Parameter InternalSMTPServers angegeben wird, die Quell-IP-Adresse ist, die überprüft werden muss. Deshalb müssen Sie alle internen SMTP-Server angeben, damit die Verbindungsfilterung ordnungsgemäß funktioniert.