Kopfzeilenfirewall

  • Artikel

Gilt für: Exchange Server 2013

In Microsoft Exchange Server 2013 ist die Headerfirewall ein Mechanismus, der bestimmte Headerfelder aus ein- und ausgehenden Nachrichten entfernt. Es gibt zwei Typen von Kopfzeilenfeldern, die von der Kopfzeilenfirewall betroffen sind:

  • X-Header: Ein X-Header ist ein benutzerdefiniertes, inoffizielles Headerfeld. X-Header werden in RFC 2822 nicht ausdrücklich erwähnt, doch die Verwendung eines nicht definierten Kopfzeilenfelds, das mit X- beginnt, hat sich zu einer akzeptierten Methode entwickelt, um einer Nachricht inoffizielle Kopfzeilenfelder hinzuzufügen. Messaginganwendungen, wie z. B. Antispam-, Antivirus- oder Messagingserver, können einer Nachricht eigene X-Header hinzufügen. In Exchange enthalten die Felder für X-Header Details zu den Aktionen, die vom Transportdienst für die Nachricht ausgeführt werden, z. B. die Spam-Konfidenzstufe (SCL), die Ergebnisse der Inhaltsfilterung und den Verarbeitungsstatus der Regeln. Die Offenlegung solcher Informationen gegenüber nicht autorisierten Quellen kann ein potenzielles Sicherheitsrisiko darstellen.

  • Routingheader: Routingheader sind SMTP-Standardheaderfelder, die in RFC 2821 und RFC 2822 definiert sind. Routingkopfzeilen stempeln eine Nachricht mithilfe von Informationen zu den verschiedenen Messagingservern, die für die Zustellung der Nachricht an den Empfänger verwendet wurden. Von böswilligen Benutzern in Nachrichten eingefügte Routingkopfzeilen können verwendet werden, um eine falsche Darstellung des Routingpfads zu geben, den eine Nachricht bis zum Eingang beim Empfänger durchlaufen hat.

Die Kopfzeilenfirewall verhindert das Spoofing dieser Exchange-bezogenen X-Header, indem diese aus eingehenden Nachrichten entfernt werden, die aus nicht vertrauenswürdigen Quellen in die Exchange-Organisation gelangen. Die Kopfzeilenfirewall verhindert die Preisgabe dieser Exchange-bezogenen X-Header, indem diese aus ausgehenden Nachrichten entfernt werden, die an nicht vertrauenswürdige Ziele außerhalb der Exchange-Organisation gesendet werden. Die Kopfzeilenfirewall verhindert auch das Spoofing standardmäßiger Routingkopfzeilen, die zum Nachverfolgen des Routingverlaufs einer Nachricht verwendet werden.

Von der Kopfzeilenfirewall in Exchange betroffene Nachrichtenkopffelder

Die folgenden Typen von X-Headern und Routingkopfzeilen sind von der Kopfzeilenfirewall betroffen:

  • Organisations-X-Header: Diese X-Header-Felder beginnen mit X-MS-Exchange-Organization-.

  • Gesamtstruktur-X-Header: Diese X-Headerfelder beginnen mit X-MS-Exchange-Forest-.

    Beispiele von Organisations- und Gesamtstruktur-X-Headern finden Sie im Abschnitt Organization X-headers and forest X-headers in Exchange am Ende dieses Themas.

  • Empfangen: Routingheader: Eine andere Instanz dieses Headerfelds wird dem Nachrichtenheader von jedem Messagingserver hinzugefügt, der die Nachricht akzeptiert und an den Empfänger weitergeleitet hat. Die Received: -Kopfzeile enthält normalerweise den Namen des Messagingservers und einen Datums-/Uhrzeitstempel.

  • Resent-*: Routingheader: Headerfelder erneut senden sind Informationsheaderfelder, die verwendet werden können, um zu bestimmen, ob eine Nachricht von einem Benutzer weitergeleitet wurde. Die folgenden "Resent"-Kopfzeilenfelder sind verfügbar: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: und Resent-Message-ID:. Die Resent- Felder werden verwendet, damit die Nachricht dem Empfänger so erscheint, als wäre sie direkt vom ursprünglichen Absender gesendet worden. Der Empfänger kann den Nachrichtenkopf anzeigen und ermitteln, wer die Nachricht weitergeleitet hat.

Exchange hat zwei Möglichkeiten, eine Kopfzeilenfirewall auf Organisations-X-Header, Gesamtstruktur-X-Header und Routingkopfzeilen anzuwenden, die in Nachrichten vorhanden sind:

  • Sende- oder Empfangsconnectors werden Berechtigungen zugewiesen, die zum Beibehalten oder Entfernen bestimmter Typen von Kopfzeilen in Nachrichten verwendet werden können, wenn die Nachricht den Connector durchläuft.

  • Die Kopfzeilenfirewall wird automatisch für bestimmte Typen von Kopfzeilen in Nachrichten während anderer Nachrichtenübermittlungsarten implementiert.

Anwenden der Kopfzeilenfirewall auf Empfangs- und Sendeconnectors

Die Kopfzeilenfirewall wird auch auf Nachrichten angewendet, die Sende- und Empfangsconnectors basierend auf bestimmten Berechtigungen durchlaufen, die den Connectors zugewiesen sind.

Wenn die Berechtigung dem Empfangs- oder Sendeconnector zugewiesen ist, wird die Kopfzeilenfirewall nicht auf Nachrichten angewendet, die den Connector durchlaufen. Die betroffenen Kopfzeilenfelder bleiben in den Nachrichten erhalten.

Wenn die Berechtigung nicht dem Empfangs- oder Sendeconnector zugewiesen ist, wird die Kopfzeilenfirewall auf Nachrichten angewendet, die den Connector durchlaufen. Die betroffenen Kopfzeilenfelder werden aus den Nachrichten entfernt.

In der folgenden Tabelle werden die Berechtigungen für Sende- und Empfangsconnectors beschrieben, die zum Anwenden der Kopfzeilenfirewall verwendet werden, und die betroffenen Kopfzeilenfelder beschrieben.

Connectortyp Berechtigung Beschreibung
Empfangsconnector Ms-Exch-Accept-Headers-Organization Diese Berechtigung betrifft Organisations-X-Headerfelder, die in eingehenden Nachrichten mit X-MS-Exchange-Organization- beginnen.
Empfangsconnector Ms-Exch-Accept-Headers-Forest Diese Berechtigung betrifft Gesamtstruktur-X-Headerfelder, die in eingehenden Nachrichten mit X-MS-Exchange-Forest- beginnen.
Empfangsconnector Ms-Exch-Accept-Headers-Routing Diese Berechtigung wirkt sich auf die Routingheaderfelder Empfangen: und Erneut senden-*: in eingehenden Nachrichten aus.
Sendeconnector Ms-Exch-Send-Headers-Organization Diese Berechtigung betrifft Organisations-X-Headerfelder, die in ausgehenden Nachrichten mit X-MS-Exchange-Organization- beginnen.
Sendeconnector Ms-Exch-Send-Headers-Forest Diese Berechtigung betrifft Gesamtstruktur-X-Headerfelder, die in ausgehenden Nachrichten mit X-MS-Exchange-Forest- beginnen.
Sendeconnector Ms-Exch-Send-Headers-Routing Diese Berechtigung betrifft Received:- und Resent-*:- Routingkopfzeilenfelder in ausgehenden Nachrichten.

Kopfzeilenfirewall für eingehende Nachrichten für Empfangsconnectors

In der folgenden Tabelle wird das standardmäßige Anwenden der Kopfzeilenfirewall-Berechtigungen für Empfangsconnectors beschrieben.

Berechtigung Exchange-Standardsicherheitsprinzipale, denen die Berechtigung zugewiesen wurde Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind Standardverwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist
Ms-Exch-Accept-Headers-Organization und Ms-Exch-Accept-Headers-Forest
  • Hub-Transport-Server
  • Edge-Transport-Server
  • Exchange-Server

    Hinweis: Nur auf Hub-Transport-Servern
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Anonymes Benutzerkonto Anonymous Internet
Ms-Exch-Accept-Headers-Routing Authentifizierte Benutzerkonten ExchangeUsers Client (auf Edge-Transport-Servern nicht verfügbar)
Ms-Exch-Accept-Headers-Routing
  • Hub-Transport-Server
  • Edge-Transport-Server
  • Exchange-Server

    Hinweis: Nur Hub-Transport-Server
  • Extern gesicherte Server
 ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Partnerserverkonto Partner Internet und Partner

Kopfzeilenfirewall für benutzerdefinierte Empfangsconnectors

Wenn Sie die Kopfzeilenfirewall auf Nachrichten in einem benutzerdefinierten Empfangsconnectorszenario anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie den Empfangsconnector mit einem Verwendungstyp, der die Kopfzeilenfirewall automatisch auf Nachrichten anwendet. Den Verwendungstyp können Sie allerdings nur beim Erstellen des Empfangsconnectors festlegen.

    • Um die X-Header der Organisation oder die Gesamtstruktur-X-Header aus Nachrichten zu entfernen, erstellen Sie einen Empfangsconnector, und wählen Sie einen anderen Verwendungstyp als Internalaus.

    • Führen Sie zum Entfernen von Routingkopfzeilen aus Nachrichten eine der folgenden Aktionen aus:

      • Erstellen Sie einen Empfangsconnector, und wählen Sie den Verwendungstyp aus Custom. Weisen Sie dem Empfangsconnector keine Berechtigungsgruppen zu.

      • Ändern Sie einen vorhandenen Empfangsconnector, und legen Sie den Parameter PermissionGroups auf den Wert Nonefest.

        Wenn Sie über einen Empfangsconnector verfügen, dem keine Berechtigungsgruppen zugewiesen sind, müssen Sie dem Empfangsconnector Sicherheitsprinzipale hinzufügen (siehe die Beschreibung im letzten Schritt).

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigungen Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest und Ms-Exch-Accept-Headers-Routing von einem Sicherheitsprinzipal zu entfernen, der für den Empfangsconnector konfiguriert ist. Diese Methode funktioniert nicht, wenn die Berechtigung dem Sicherheitsprinzipal über eine Berechtigungsgruppe für den Empfangsconnector zugewiesen wurde, da Sie die Berechtigungszuweisungen oder Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern können.

  • Verwenden Sie das Cmdlet Add-ADPermission zum Hinzufügen der entsprechenden Sicherheitsprinzipale, die für den Empfangsconnector für einen ordnungsgemäßen Nachrichtenfluss erforderlich sind. Vergewissern Sie sich, dass Sicherheitsprinzipalen nicht die Berechtigungen Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest und Ms-Exch-Accept-Headers-Routing zugewiesen sind. Verwenden Sie nötigenfalls das Cmdlet Add-ADPermission, um den Sicherheitsprinzipalen, die für den Empfangsconnector konfiguriert sind, die Berechtigungen Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest und Ms-Exch-Accept-Headers-Routing zu verweigern.

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Kopfzeilenfirewall für ausgehende Nachrichten für Sendeconnectors

In der folgenden Tabelle wird das standardmäßige Anwenden der Kopfzeilenfirewall-Berechtigungen für Sendeconnectors beschrieben.

Berechtigung Exchange-Standardsicherheitsprinzipale, denen die Berechtigung zugewiesen wurde Standardverwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist
Ms-Exch-Send-Headers-Organization und Ms-Exch-Send-Headers-Forest
  • Hub-Transport-Server
  • Edge-Transport-Server
  • Exchange Server Hinweis: Nur auf Hub-Transportservern
  • Extern gesicherte Server
  • Universelle Sicherheitsgruppe ExchangeLegacyInterop
 Internal
Ms-Exch-Send-Headers-Routing
  • Hub-Transport-Server
  • Edge-Transport-Server
  • Exchange-Server

    Hinweis: Nur auf Hub-Transport-Servern
  • Extern gesicherte Server
  • Universelle Sicherheitsgruppe ExchangeLegacyInterop
 Internal
Ms-Exch-Send-Headers-Routing Anonymes Benutzerkonto Internet
Ms-Exch-Send-Headers-Routing Partnerserver Partner

Kopfzeilenfirewall für benutzerdefinierte Sendeconnectors

Wenn Sie die Kopfzeilenfirewall auf Nachrichten in einem benutzerdefinierten Sendeconnectorszenario anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie den Sendeconnector mit einem Verwendungstyp, der die Kopfzeilenfirewall automatisch auf Nachrichten anwendet. Den Verwendungstyp können Sie allerdings nur beim Erstellen des Sendeconnectors festlegen.

    • Um die X-Header der Organisation oder die Gesamtstruktur-X-Header aus Nachrichten zu entfernen, erstellen Sie einen Sendeconnector, und wählen Sie einen anderen Verwendungstyp als Internal oder Partneraus.

    • Um die Routingheader aus Nachrichten zu entfernen, erstellen Sie einen Sendeconnector, und wählen Sie den Verwendungstyp aus Custom. Die Ms-Exch-Send-Headers-Routing-Berechtigung wird allen Verwendungstypen des Sendeconnectors mit Ausnahme Customzugewiesen.

  • Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigungen Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest und Ms-Exch-Send-Headers-Routing dem Connector zuweist.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigungen Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest und Ms-Exch-Send-Headers-Routing von einem der Sicherheitsprinzipale zu entfernen, die für den Sendeconnector konfiguriert sind.

  • Verwenden Sie das Cmdlet Add-ADPermission, um die Berechtigungen Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest und Ms-Exch-Send-Headers-Routing einem der Sicherheitsprinzipale zu verweigern, die für den Sendeconnector konfiguriert sind.

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Kopfzeilenfirewall für andere Nachrichtenquellen

Nachrichten können in die Transportpipeline auf einem Postfach- oder Edge-Transport-Server eingehen, ohne dass Sendeconnectors oder Empfangsconnectors verwendet werden. Die Kopfzeilenfirewall wird auf diese anderen Nachrichtenquellen wie der folgenden Liste beschrieben angewendet:

  • Pickup-Verzeichnis und Replay-Verzeichnis: Das Pickup-Verzeichnis wird von Administratoren oder Anwendungen verwendet, um Nachrichtendateien zu übermitteln. Das Wiedergabeverzeichnis wird zum erneuten Übermitteln von Nachrichten verwendet, die aus Exchange-Nachrichtenwarteschlangen exportiert wurden. Weitere Informationen zum PICKUP- und Wiedergabeverzeichnis finden Sie unter PICKUP-Verzeichnis und Wiedergabeverzeichnis.

    Organisations- und Gesamtstruktur-X-Header sowie Routingkopfzeilen werden im PICKUP-Verzeichnis aus den Nachrichtendateien entfernt.

    Routingkopfzeilen werden in Nachrichten beibehalten, die vom Wiedergabeverzeichnis übermittelt werden.

    Das Entfernen oder Beibehalten von Organisations- und Gesamtstruktur-X-Headern in Nachrichten im Wiedergabeverzeichnis wird vom Kopfzeilenfeld X-CreatedBy: in der Nachrichtendatei gesteuert:

    • Wenn der Wert von X-CreatedBy: ist MSExchange15, werden Organisations-X-Header und Gesamtstruktur-X-Header in Nachrichten beibehalten.
    • Wenn der Wert von X-CreatedBy: nicht MSExchange15ist, werden Organisations-X-Header und Gesamtstruktur-X-Header aus Nachrichten entfernt.
    • Wenn das Kopfzeilenfeld X-CreatedBy: nicht in der Nachrichtendatei vorhanden ist, werden Organisations- und Gesamtstruktur-X-Header aus Nachrichten entfernt.

  • Verzeichnis löschen: Das Drop-Verzeichnis wird von ausländischen Connectors auf Postfachservern verwendet, um Nachrichten an Messagingserver zu senden, die smtp zum Übertragen von Nachrichten nicht verwenden. Weitere Informationen zu fremden Connectors finden Sie unter Fremde Connectors.

    Organisations- und Gesamtstruktur-X-Header werden aus den Nachrichtendateien entfernt, bevor sie im Dropverzeichnis abgelegt werden.

    Routingkopfzeilen bleiben in Nachrichten erhalten, die vom Dropverzeichnis übermittelt werden.

  • Postfachtransport: Der Postfachtransportdienst ist auf Postfachservern vorhanden, um Nachrichten an und aus Postfächern auf Postfachservern zu übertragen. Weitere Informationen zum Postfachtransportdienst finden Sie unter Nachrichtenübermittlung.

    Organisations- und Gesamtstruktur-X-Header sowie Routingkopfzeilen werden aus ausgehenden Nachrichten entfernt, die vom Postfachtransport-Zustellungsdienst aus Postfächern gesendet werden.

    Routingkopfzeilen werden vom Postfachtransport-Zustellungsdienst für eingehende Nachrichten an Postfachempfänger beibehalten. Die folgenden Organisations-X-Header werden vom Postfachtransport-Zustellungsdienst für eingehende Nachrichten an Postfachempfänger beibehalten:

    • X-MS-Exchange-Organization-SCL
    • X-MS-Exchange-Organization-AuthDomain
    • X-MS-Exchange-Organization-AuthMechanism
    • X-MS-Exchange-Organization-AuthSource
    • X-MS-Exchange-Organization-AuthAs
    • X-MS-Exchange-Organization-OriginalArrivalTime
    • X-MS-Exchange-Organization-OriginalSize

  • DSN-Nachrichten: Organisations-X-Header, Gesamtstruktur-X-Header und Routingheader werden aus der ursprünglichen Nachricht oder dem ursprünglichen Nachrichtenheader entfernt, der an die DSN-Nachricht angefügt ist. Weitere Informationen zu DSN-Nachrichten finden Sie unter DSNs und NDRs in Exchange 2013.

  • Übermittlung des Transport-Agents: Organisations-X-Header, Gesamtstruktur-X-Header und Routingheader werden in Nachrichten beibehalten, die von Transport-Agents übermittelt werden.

Organisations- und Gesamtstruktur-X-Header in Exchange

Der Transportdienst auf Postfach- oder Edge-Transport-Servern fügt benutzerdefinierte X-Headerfelder im Nachrichtenkopf ein.

Organisations-X-Header beginnen mit X-MS-Exchange-Organization-. Gesamtstruktur-X-Header beginnen mit X-MS-Exchange-Forest-. In der folgenden Tabelle werden einige der Organisations- und Gesamtstruktur-X-Header beschrieben, die in Nachrichten in einer Exchange-Organisation verwendet werden.

X-Header Beschreibung
X-MS-Exchange-Forest-RulesExecuted Transportregeln, die auf die Nachricht angewendet wurden.
X-MS-Exchange-Organization-Antispam-Report Eine Zusammenfassung der Ergebnisse der Antispamfilter, die auf die E-Mail-Nachricht vom Inhaltsfilter-Agent angewendet wurden.
X-MS-Exchange-Organization-AuthAs Gibt die Authentifizierungsquelle an. Dieser X-Header ist immer vorhanden, wenn die Sicherheit einer Nachricht bewertet wurde. Die möglichen Werte sind Anonymous, Internal, Externaloder Partner.
X-MS-Exchange-Organization-AuthDomain Wird während der domänengesicherten Authentifizierung aufgefüllt. Der Wert ist der FQDN der authentifizierten Remotedomäne.
X-MS-Exchange-Organization-AuthMechanism Gibt den Authentifizierungsmechanismus für die Zustellung der Nachricht an. Der Wert ist eine zweistellige hexadezimale Zahl.
X-MS-Exchange-Organization-AuthSource Gibt den FQDN des Servercomputers an, der die Authentifizierung der Nachricht für die Organisation ausgewertet hat.
X-MS-Exchange-Organization-Journal-Report Bestimmt Journalberichte im Transport. Sobald die Nachricht den Transportdienst verlässt, ändert sich die Kopfzeile in X-MS-Journal-Report.
X-MS-Exchange-Organization-OriginalArrivalTime Bestimmt die Zeit, zu der die Nachricht zuerst in die Exchange-Organisation eingegangen ist.
X-MS-Exchange-Organization-Original-Sender Gibt den ursprünglichen Absender einer Nachricht in Quarantäne zum Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.
X-MS-Exchange-Organization-OriginalSize Gibt die ursprüngliche Größe einer Nachricht in Quarantäne zum Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.
X-MS-Exchange-Organization-Original-Scl Gibt den ursprünglichen SCL-Wert einer Nachricht in Quarantäne zum Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.
X-MS-Exchange-Organization-PCL Bestimmt den PCL (Phishing Confidence Level). Die möglichen PCL-Werte sind 1 bis 8. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Weitere Informationen finden Sie unter Antispamstempel.
X-MS-Exchange-Organization-Quarantine Gibt an, dass die Nachricht im Quarantänepostfach für Spam isoliert wurde und dass eine Benachrichtigungen über den Zustellungsstatus gesendet wurde. Sie kann auch angeben, dass die Nachricht isoliert und vom Administrator freigegeben wurde. Dieser X-Header verhindert, dass die freigegebene Nachricht erneut an das Quarantänepostfach für Span übermittelt wird. Weitere Informationen finden Sie unter [Freigeben von in Quarantäne befindlichen Nachrichten aus dem Spamquarantänepostfach](release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md.
X-MS-Exchange-Organization-SCL Bestimmt den SCL der Nachricht. Die möglichen SCL-Werte sind 0 bis 9. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Der Sonderwert -1 nimmt die Nachricht von der Verarbeitung durch den Inhaltsfilter-Agent aus. Weitere Informationen finden Sie unter Inhaltsfilterung.
X-MS-Exchange-Organization-SenderIdResult Enthält die Ergebnisse des Sender ID-Agents. Der Sender ID-Agent verwendet das SPF (Sender Policy Framework) zum Vergleichen der Quell-IP-Adresse der Nachricht mit der Domäne, die in der E-Mail-Adresse des Absenders verwendet wird. Die Ergebnisse der Sender ID werden verwendet, um die SCL-Bewertung für eine Nachricht zu berechnen. Weitere Informationen finden Sie unter Sender ID.