(0) exportieren Drucken
Alle erweitern

Kopfzeilenfirewall

 

Gilt für: Exchange Server 2013

Letztes Änderungsdatum des Themas: 2013-01-31

In Microsoft Exchange Server 2013 ist die Kopfzeilenfirewall ein Mechanismus, der bestimmte Kopfzeilenfelder aus ein- und ausgehenden Nachrichten entfernt. Es gibt zwei Typen von Kopfzeilenfeldern, die von der Kopfzeilenfirewall betroffen sind:

  • X-Header   Ein X-Header ist ein benutzerdefiniertes, inoffizielles Kopfzeilenfeld. X-Header werden in RFC 2822 nicht ausdrücklich erwähnt, doch die Verwendung eines nicht definierten Kopfzeilenfelds, das mit X- beginnt, hat sich zu einer akzeptierten Methode entwickelt, um einer Nachricht inoffizielle Kopfzeilenfelder hinzuzufügen. Messaginganwendungen, wie z. B. Antispam-, Antivirus- oder Messagingserver, können einer Nachricht eigene X-Header hinzufügen. In Exchange enthalten die X-Headerfelder Einzelheiten zu den Aktionen, die durch den Transportserver für die Nachricht ausgeführt werden, z. B. für die SCL-Bewertung (Spam Confidence Level), die Ergebnisse der Inhaltsfilterung und den Status der Regelverarbeitung. Die Offenlegung solcher Informationen gegenüber nicht autorisierten Quellen kann ein potenzielles Sicherheitsrisiko darstellen.

  • Routingkopfzeilen   Routingkopfzeilen sind SMTP-Standardkopfzeilenfelder, die in RFC 2821 und RFC 2822 definiert sind. Routingkopfzeilen stempeln eine Nachricht mithilfe von Informationen zu den verschiedenen Messagingservern, die für die Zustellung der Nachricht an den Empfänger verwendet wurden. Von böswilligen Benutzern in Nachrichten eingefügte Routingkopfzeilen können verwendet werden, um eine falsche Darstellung des Routingpfads zu geben, den eine Nachricht bis zum Eingang beim Empfänger durchlaufen hat.

Die Kopfzeilenfirewall verhindert das Spoofing dieser Exchange-bezogenen X-Header, indem diese aus eingehenden Nachrichten entfernt werden, die aus nicht vertrauenswürdigen Quellen in die Exchange-Organisation gelangen. Die Kopfzeilenfirewall verhindert die Preisgabe dieser Exchange-bezogenen X-Header, indem diese aus ausgehenden Nachrichten entfernt werden, die an nicht vertrauenswürdige Ziele außerhalb der Exchange-Organisation gesendet werden. Die Kopfzeilenfirewall verhindert auch das Spoofing standardmäßiger Routingkopfzeilen, die zum Nachverfolgen des Routingverlaufs einer Nachricht verwendet werden.

Inhalt

Von der Kopfzeilenfirewall in Exchange betroffene Nachrichtenkopffelder

Anwenden der Kopfzeilenfirewall auf Empfangs- und Sendeconnectors

Kopfzeilenfirewall für eingehende Nachrichten für Empfangsconnectors

Kopfzeilenfirewall für ausgehende Nachrichten für Sendeconnectors

Kopfzeilenfirewall für andere Nachrichtenquellen

Organisations- und Gesamtstruktur-X-Header in Exchange

Die folgenden Typen von X-Headern und Routingkopfzeilen sind von der Kopfzeilenfirewall betroffen:

  • Organisations-X-Header   Diese X-Headerfelder beginnen mit X-MS-Exchange-Organization-.

  • Gesamtstruktur-X-Header   Diese X-Headerfelder beginnen mit X-MS-Exchange-Forest-.

    Beispiele von Organisations- und Gesamtstruktur-X-Headern finden Sie im Abschnitt Organisations- und Gesamtstruktur-X-Header in Exchange am Ende dieses Themas.

  • Received:- Routingkopfzeilen   Eine andere Instanz dieses Kopfzeilenfelds wird dem Nachrichtenkopf von jedem Messagingserver hinzugefügt, der die Nachricht angenommen und an den Empfänger weitergeleitet hat. Die Received:-Kopfzeile enthält normalerweise den Namen des Messagingservers und einen Datums-/Uhrzeitstempel.

  • Resent-*:-Routingkopfzeilen   "Resent"-Kopfzeilenfelder sind Informationskopfzeilenfelder, die zum Bestimmen verwendet werden können, ob eine Nachricht von einem Benutzer weitergeleitet wurde. Die folgenden "Resent"-Kopfzeilenfelder sind verfügbar: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: und Resent-Message-ID:. Die Resent-Felder werden verwendet, damit die Nachricht dem Empfänger so erscheint, als wäre sie direkt vom ursprünglichen Absender gesendet worden. Der Empfänger kann den Nachrichtenkopf anzeigen und ermitteln, wer die Nachricht weitergeleitet hat.

Exchange hat zwei Möglichkeiten, eine Kopfzeilenfirewall auf Organisations-X-Header, Gesamtstruktur-X-Header und Routingkopfzeilen anzuwenden, die in Nachrichten vorhanden sind:

  • Sende- oder Empfangsconnectors werden Berechtigungen zugewiesen, die zum Beibehalten oder Entfernen bestimmter Typen von Kopfzeilen in Nachrichten verwendet werden können, wenn die Nachricht den Connector durchläuft.

  • Die Kopfzeilenfirewall wird automatisch für bestimmte Typen von Kopfzeilen in Nachrichten während anderer Nachrichtenübermittlungsarten implementiert.

Zurück zum Seitenanfang

Die Kopfzeilenfirewall wird auch auf Nachrichten angewendet, die Sende- und Empfangsconnectors basierend auf bestimmten Berechtigungen durchlaufen, die den Connectors zugewiesen sind.

Wenn die Berechtigung dem Empfangs- oder Sendeconnector zugewiesen ist, wird die Kopfzeilenfirewall nicht auf Nachrichten angewendet, die den Connector durchlaufen. Die betroffenen Kopfzeilenfelder bleiben in den Nachrichten erhalten.

Wenn die Berechtigung nicht dem Empfangs- oder Sendeconnector zugewiesen ist, wird die Kopfzeilenfirewall auf Nachrichten angewendet, die den Connector durchlaufen. Die betroffenen Kopfzeilenfelder werden aus den Nachrichten entfernt.

In der folgenden Tabelle werden die Berechtigungen für Sende- und Empfangsconnectors beschrieben, die zum Anwenden der Kopfzeilenfirewall verwendet werden, und die betroffenen Kopfzeilenfelder beschrieben.

 

Connectortyp Berechtigung Beschreibung

Empfangsconnector

Ms-Exch-Accept-Headers-Organization

Diese Berechtigung betrifft Organisations-X-Headerfelder, die in eingehenden Nachrichten mit X-MS-Exchange-Organization- beginnen.

Empfangsconnector

Ms-Exch-Accept-Headers-Forest

Diese Berechtigung betrifft Gesamtstruktur-X-Headerfelder, die in eingehenden Nachrichten mit X-MS-Exchange-Forest- beginnen.

Empfangsconnector

Ms-Exch-Accept-Headers-Routing

Diese Berechtigung betrifft Received:- und Resent-*:- Routingkopfzeilenfelder in eingehenden Nachrichten.

Sendeconnector

Ms-Exch-Send-Headers-Organization

Diese Berechtigung betrifft Organisations-X-Headerfelder, die in ausgehenden Nachrichten mit X-MS-Exchange-Organization- beginnen.

Sendeconnector

Ms-Exch-Send-Headers-Forest

Diese Berechtigung betrifft Gesamtstruktur-X-Headerfelder, die in ausgehenden Nachrichten mit X-MS-Exchange-Forest- beginnen.

Sendeconnector

Ms-Exch-Send-Headers-Routing

Diese Berechtigung betrifft Received:- und Resent-*:- Routingkopfzeilenfelder in ausgehenden Nachrichten.

In der folgenden Tabelle wird das standardmäßige Anwenden der Kopfzeilenfirewall-Berechtigungen für Empfangsconnectors beschrieben.

 

Berechtigung Exchange-Standardsicherheitsprinzipale, denen die Berechtigung zugewiesen wurde Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind Standardverwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist

Ms-Exch-Accept-Headers-Organization und Ms-Exch-Accept-Headers-Forest

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    Nur auf Hub-Transport-Servern

ExchangeServers

Internal

Ms-Exch-Accept-Headers-Routing

Anonymes Benutzerkonto

Anonymous

Internet

Ms-Exch-Accept-Headers-Routing

Authentifizierte Benutzerkonten

ExchangeUsers

Client (auf Edge-Transport-Servern nicht verfügbar)

Ms-Exch-Accept-Headers-Routing

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    nur Hub-Transport-Server
  • Extern gesicherte Server

ExchangeServers

Internal

Ms-Exch-Accept-Headers-Routing

Partnerserverkonto

Partner

Internet und Partner

Zurück zum Seitenanfang

Wenn Sie die Kopfzeilenfirewall auf Nachrichten in einem benutzerdefinierten Empfangsconnectorszenario anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie den Empfangsconnector mit einem Verwendungstyp, der die Kopfzeilenfirewall automatisch auf Nachrichten anwendet. Den Verwendungstyp können Sie allerdings nur beim Erstellen des Empfangsconnectors festlegen.

    • Erstellen Sie zum Entfernen der Organisations- oder Gesamtstruktur-X-Header aus Nachrichten einen Empfangsconnector, und wählen Sie einen anderen Verwendungstyp als Internal.

    • Führen Sie zum Entfernen von Routingkopfzeilen aus Nachrichten eine der folgenden Aktionen aus:

      • Erstellen Sie einen Empfangsconnector, und wählen Sie den Verwendungstyp Custom aus. Weisen Sie dem Empfangsconnector keine Berechtigungsgruppen zu.

      • Ändern Sie einen vorhandenen Empfangsconnector, und legen Sie den Parameter PermissionGroups auf den Wert None fest.

      Wenn Sie über einen Empfangsconnector verfügen, dem keine Berechtigungsgruppen zugewiesen sind, müssen Sie dem Empfangsconnector Sicherheitsprinzipale hinzufügen (siehe die Beschreibung im letzten Schritt).

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigungen Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest und Ms-Exch-Accept-Headers-Routing von einem Sicherheitsprinzipal zu entfernen, der für den Empfangsconnector konfiguriert ist. Diese Methode funktioniert nicht, wenn die Berechtigung dem Sicherheitsprinzipal über eine Berechtigungsgruppe für den Empfangsconnector zugewiesen wurde, da Sie die Berechtigungszuweisungen oder Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern können.

  • Verwenden Sie das Cmdlet Add-ADPermission zum Hinzufügen der entsprechenden Sicherheitsprinzipale, die für den Empfangsconnector für einen ordnungsgemäßen Nachrichtenfluss erforderlich sind. Vergewissern Sie sich, dass Sicherheitsprinzipalen nicht die Berechtigungen Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest und Ms-Exch-Accept-Headers-Routing zugewiesen sind. Verwenden Sie nötigenfalls das Cmdlet Add-ADPermission, um den Sicherheitsprinzipalen, die für den Empfangsconnector konfiguriert sind, die Berechtigungen Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest und Ms-Exch-Accept-Headers-Routing zu verweigern.

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Zurück zum Seitenanfang

In der folgenden Tabelle wird das standardmäßige Anwenden der Kopfzeilenfirewall-Berechtigungen für Sendeconnectors beschrieben.

 

Berechtigung Exchange-Standardsicherheitsprinzipale, denen die Berechtigung zugewiesen wurde Standardverwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist

Ms-Exch-Send-Headers-Organization und Ms-Exch-Send-Headers-Forest

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    Nur auf Hub-Transport-Servern
  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe ExchangeLegacyInterop

Internal

Ms-Exch-Send-Headers-Routing

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange-Server

    HinweisAnmerkung:
    Nur auf Hub-Transport-Servern
  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe ExchangeLegacyInterop

Internal

Ms-Exch-Send-Headers-Routing

Anonymes Benutzerkonto

Internet

Ms-Exch-Send-Headers-Routing

Partnerserver

Partner

Zurück zum Seitenanfang

Wenn Sie die Kopfzeilenfirewall auf Nachrichten in einem benutzerdefinierten Sendeconnectorszenario anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie den Sendeconnector mit einem Verwendungstyp, der die Kopfzeilenfirewall automatisch auf Nachrichten anwendet. Den Verwendungstyp können Sie allerdings nur beim Erstellen des Sendeconnectors festlegen.

    • Erstellen Sie zum Entfernen der Organisations- oder Gesamtstruktur-X-Header aus Nachrichten einen Sendeconnector, und wählen Sie einen anderen Verwendungstyp als Internal oder Partner.

    • Um die Routingkopfzeilen aus Nachrichten zu entfernen, erstellen Sie einen Sendeconnector, und wählen Sie den Verwendungstyp Custom. Die Berechtigung Ms-Exch-Send-Headers-Routing wird allen Verwendungstypen des Sendeconnectors mit Ausnahme von Custom zugewiesen.

  • Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigungen Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest und Ms-Exch-Send-Headers-Routing dem Connector zuweist.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigungen Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest und Ms-Exch-Send-Headers-Routing von einem der Sicherheitsprinzipale zu entfernen, die für den Sendeconnector konfiguriert sind.

  • Verwenden Sie das Cmdlet Add-ADPermission, um die Berechtigungen Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest und Ms-Exch-Send-Headers-Routing einem der Sicherheitsprinzipale zu verweigern, die für den Sendeconnector konfiguriert sind.

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Zurück zum Seitenanfang

Nachrichten können in die Transportpipeline auf einem Postfach- oder Edge-Transport-Server eingehen, ohne dass Sendeconnectors oder Empfangsconnectors verwendet werden. Die Kopfzeilenfirewall wird auf diese anderen Nachrichtenquellen wie der folgenden Liste beschrieben angewendet:

  • PICKUP- und Wiedergabeverzeichnis   Das PICKUP-Verzeichnis wird von Administratoren oder Anwendungen zum Übermitteln von Nachrichtendateien verwendet. Das Wiedergabeverzeichnis wird zum erneuten Übermitteln von Nachrichten verwendet, die aus Exchange-Nachrichtenwarteschlangen exportiert wurden. Weitere Informationen zum PICKUP- und Wiedergabeverzeichnis finden Sie unter PICKUP-Verzeichnis und Wiedergabeverzeichnis.

    Organisations- und Gesamtstruktur-X-Header sowie Routingkopfzeilen werden im PICKUP-Verzeichnis aus den Nachrichtendateien entfernt.

    Routingkopfzeilen werden in Nachrichten beibehalten, die vom Wiedergabeverzeichnis übermittelt werden.

    Das Entfernen oder Beibehalten von Organisations- und Gesamtstruktur-X-Headern in Nachrichten im Wiedergabeverzeichnis wird vom Kopfzeilenfeld X-CreatedBy: in der Nachrichtendatei gesteuert:

    • Wenn der Wert von X-CreatedBy: MSExchange15 ist, werden Organisations- und Gesamtstruktur-X-Header in Nachrichten beibehalten.

    • Wenn der Wert von X-CreatedBy: nicht MSExchange15 ist, werden Organisations- und Gesamtstruktur-X-Header aus Nachrichten entfernt.

    • Wenn das Kopfzeilenfeld X-CreatedBy: nicht in der Nachrichtendatei vorhanden ist, werden Organisations- und Gesamtstruktur-X-Header aus Nachrichten entfernt.

  • Dropverzeichnis   Das Dropverzeichnis wird von fremden Connectors auf Postfachservern verwendet, um Nachrichten an Messagingserver zu senden, die zum Übertragen von Nachrichten nicht SMTP (Simple Mail Transfer Protocol) verwenden. Weitere Informationen zu fremden Connectors finden Sie unter Fremde Connectors.

    Organisations- und Gesamtstruktur-X-Header werden aus den Nachrichtendateien entfernt, bevor sie im Dropverzeichnis abgelegt werden.

    Routingkopfzeilen bleiben in Nachrichten erhalten, die vom Dropverzeichnis übermittelt werden.

  • Postfachtransportdienst   Der Postfachtransportdienst dient auf Postfachservern zum Übertragen von Nachrichten in und aus Postfächern auf Postfachservern. Weitere Informationen zum Postfachtransportdienst finden Sie unter Nachrichtenübermittlung.

    Organisations- und Gesamtstruktur-X-Header sowie Routingkopfzeilen werden aus ausgehenden Nachrichten entfernt, die vom Postfachtransport-Zustellungsdienst aus Postfächern gesendet werden.

    Routingkopfzeilen werden vom Postfachtransport-Zustellungsdienst für eingehende Nachrichten an Postfachempfänger beibehalten. Die folgenden Organisations-X-Header werden vom Postfachtransport-Zustellungsdienst für eingehende Nachrichten an Postfachempfänger beibehalten:

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

  • Benachrichtigungen über den Zustellungsstatus   Organisations- und Gesamtstruktur-X-Header sowie Routingkopfzeilen werden aus der Originalmeldung oder deren Kopfzeile entfernt, die der Benachrichtigung über die Zustellungsstatus zugeordnet ist. Weitere Informationen zu Benachrichtigungen über den Zustellungsstatus finden Sie unter Benachrichtigungen über den Zustellungsstatus und Unzustellbarkeitsberichte.

  • Transport-Agent-Übermittlung   Organisations- und Gesamtstruktur-X-Header sowie Routingkopfzeilen werden in Nachrichten beibehalten, die von Transport-Agents zugestellt werden.

Zurück zum Seitenanfang

Der Transportdienst auf Postfach- oder Edge-Transport-Servern fügt benutzerdefinierte X-Headerfelder im Nachrichtenkopf ein.

Organisations-X-Header beginnen mit X-MS-Exchange-Organization-. Gesamtstruktur-X-Header beginnen mit X-MS-Exchange-Forest-. In der folgenden Tabelle werden einige der Organisations- und Gesamtstruktur-X-Header beschrieben, die in Nachrichten in einer Exchange-Organisation verwendet werden.

 

X-Header Beschreibung

X-MS-Exchange-Forest-RulesExecuted

Transportregeln, die auf die Nachricht angewendet wurden.

X-MS-Exchange-Organization-Antispam-Report

Eine Zusammenfassung der Ergebnisse der Antispamfilter, die auf die E-Mail-Nachricht vom Inhaltsfilter-Agent angewendet wurden.

X-MS-Exchange-Organization-AuthAs

Gibt die Authentifizierungsquelle an. Dieser X-Header ist immer vorhanden, wenn die Sicherheit einer Nachricht bewertet wurde. Die möglichen Werte sind Anonymous, Internal, External oder Partner.

X-MS-Exchange-Organization-AuthDomain

Wird während der domänengesicherten Authentifizierung aufgefüllt. Der Wert ist der FQDN der authentifizierten Remotedomäne.

X-MS-Exchange-Organization-AuthMechanism

Gibt den Authentifizierungsmechanismus für die Zustellung der Nachricht an. Der Wert ist eine zweistellige hexadezimale Zahl.

X-MS-Exchange-Organization-AuthSource

Gibt den FQDN des Servercomputers an, der die Authentifizierung der Nachricht für die Organisation ausgewertet hat.

X-MS-Exchange-Organization-Journal-Report

Bestimmt Journalberichte im Transport. Sobald die Nachricht den Transportdienst verlässt, ändert sich die Kopfzeile in X-MS-Journal-Report.

X-MS-Exchange-Organization-OriginalArrivalTime

Bestimmt die Zeit, zu der die Nachricht zuerst in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-Original-Sender

Gibt den ursprünglichen Absender einer Nachricht in Quarantäne zum Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-OriginalSize

Gibt die ursprüngliche Größe einer Nachricht in Quarantäne zum Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-Original-Scl

Gibt den ursprünglichen SCL-Wert einer Nachricht in Quarantäne zum Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-PCL

Bestimmt den PCL (Phishing Confidence Level). Die möglichen PCL-Werte sind 1 bis 8. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Weitere Informationen finden Sie unter Antispamstempel.

X-MS-Exchange-Organization-Quarantine

Gibt an, dass die Nachricht im Quarantänepostfach für Spam isoliert wurde und dass eine Benachrichtigungen über den Zustellungsstatus gesendet wurde. Sie kann auch angeben, dass die Nachricht isoliert und vom Administrator freigegeben wurde. Dieser X-Header verhindert, dass die freigegebene Nachricht erneut an das Quarantänepostfach für Span übermittelt wird. Weitere Informationen finden Sie unter Freigeben von Nachrichten unter Quarantäne aus dem Quarantänepostfach für Spam.

X-MS-Exchange-Organization-SCL

Bestimmt den SCL der Nachricht. Die möglichen SCL-Werte sind 0 bis 9. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Der Sonderwert -1 nimmt die Nachricht von der Verarbeitung durch den Inhaltsfilter-Agent aus. Weitere Informationen finden Sie unter Inhaltsfilterung.

X-MS-Exchange-Organization-SenderIdResult

Enthält die Ergebnisse des Sender ID-Agents. Der Sender ID-Agent verwendet das SPF (Sender Policy Framework) zum Vergleichen der Quell-IP-Adresse der Nachricht mit der Domäne, die in der E-Mail-Adresse des Absenders verwendet wird. Die Ergebnisse der Sender ID werden verwendet, um die SCL-Bewertung für eine Nachricht zu berechnen. Weitere Informationen finden Sie unter Absender-ID.

Zurück zum Seitenanfang

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft