Antispamschutz

  • Artikel

Gilt für: Exchange Server 2013

Spammer oder böswillige Absender verwenden eine Vielzahl von Techniken, um ungewünschte E-Mails an Ihre Organisation zu senden. Kein einzelnes Tool und kein einzelner Vorgang kann Spam vollständig beseitigen. Microsoft Exchange Server 2013 bietet jedoch einen mehrstufigen, mehrteiligen und facettenreichen Ansatz, um diese unerwünschten Nachrichten zu reduzieren. Exchange verwendet Transport-Agents, um Antispamschutz bereitzustellen, und die in Exchange 2013 verfügbaren integrierten Agents sind gegenüber Microsoft Exchange Server 2010 relativ unverändert.

Für mehr Antispamfunktionen und eine einfachere Verwaltung können Sie Microsoft Exchange Online Protection (EOP) erwerben. Einen Vergleich der Features von EOP und Exchange 2013 finden Sie unter Vorteile von Antispamfeatures in Exchange Online Protection gegenüber Exchange Server 2013. Weitere Informationen zu Microsoft 365 oder Office 365 Antispamschutz finden Sie unter Antispamschutz in EOP.

Informationen zu den integrierten Antischadsoftwarefunktionen in Exchange 2013 finden Sie unter Antischadsoftwareschutz.

Antispam-Agents auf Postfachservern

In der Regel würden Sie die Antispam-Agents auf einem Postfachserver aktivieren, wenn Ihre Organisation über keinen Edge-Transport-Server verfügt oder keine antispambasierte Filterung vor dem Akzeptieren eingehender Nachrichten vornimmt. Weitere Informationen finden Sie unter Aktivieren der Antispamfunktionen auf einem Postfachserver.

Wie alle Transport-Agents wird jedem Antispam-Agent ein Prioritätswert zugewiesen. Ein niedrigerer Wert weist auf eine höhere Priorität hin, sodass normalerweise ein Antispam-Agent mit Priorität 1 auf eine Nachricht vor einem Antispam-Agent mit Priorität 9 reagiert. Das SMTP-Ereignis, bei dem der Antispam-Agent registriert ist, ist jedoch auch sehr wichtig, um die Reihenfolge zu bestimmen, in der Antispam-Agents auf Nachrichten reagieren. Ein Antispam-Agent mit niedriger Priorität, der früh in der Transportpipeline für ein SMTP-Ereignis registriert ist, reagiert auf eine Nachricht vor einem Antispam-Agent mit hoher Priorität, der später in der Transportpipeline für ein SMTP-Ereignis registriert wird.

Basierend auf dem Standardprioritätswert des Antispam-Agents und dem SMTP-Ereignis in der Transportpipeline, in der der Antispam-Agent registriert ist, werden in der folgenden Liste die Agents und die Standardreihenfolge beschrieben, in der sie auf Nachrichten auf einem Postfachserver angewendet werden:

  1. Absenderfilter-Agent: Die Absenderfilterung vergleicht den Absender im SMTP-Befehl MAIL FROM: mit einer vom Administrator definierten Liste von Absendern oder Absenderdomänen, denen das Senden von Nachrichten an die Organisation untersagt ist, um zu bestimmen, welche Aktion ggf. für eine eingehende Nachricht ausgeführt werden soll. Weitere Informationen finden Sie unter Absenderfilterung.

  2. Absender-ID-Agent: Die Absender-ID basiert auf der IP-Adresse des sendenden Servers und der pra (Purported Responsible Address) des Absenders, um zu bestimmen, ob der Absender gespooft wurde oder nicht. Weitere Informationen finden Sie unter Sender ID.

  3. Inhaltsfilter-Agent: Die Inhaltsfilterung bewertet den Inhalt einer Nachricht. Weitere Informationen finden Sie unter Inhaltsfilterung.

    Die Spamquarantäne ist eine Funktion des Inhaltsfilter-Agents, durch die das Risiko reduziert wird, dass legitime Nachrichten verloren gehen, weil sie fälschlicherweise als Spam klassifiziert wurden. Die Spamquarantäne stellt einen temporären Speicherort für Nachrichten bereit, die als Spam erkannt wurden und nicht an ein Benutzerpostfach in der Organisation gesendet werden sollen. Weitere Informationen finden Sie unter Quarantänepostfach für Spam.

    Die Inhaltsfilterung wirkt sich auch auf die Aggregationsfunktion für sichere Listen aus. Die Aggregation sicherer Listen sammelt Daten aus den antispamsicheren Listen, die Microsoft Outlook und Outlook Web App Benutzer konfigurieren, und stellt diese Daten dem Inhaltsfilter-Agent zur Verfügung. Weitere Informationen finden Sie unter Aggregation von Listen sicherer Adressen.

  4. Protokollanalyse-Agent: Der Protokollanalyse-Agent ist der zugrunde liegende Agent, der die Zuverlässigkeitsfunktion des Absenders implementiert. Die Absenderzulässigkeit basiert auf persistenten Daten über die IP-Adresse des sendenden Servers, um zu bestimmen, welche Aktion ggf. für eine eingehende Nachricht ausgeführt werden soll. Ein Sender Reputation Level (SRL) wird aus mehreren Absendermerkmalen berechnet, die aus der Nachrichtenanalyse und externen Tests abgeleitet werden. Weitere Informationen finden Sie unter Absenderzuverlässigkeit und der Protokollanalyse-Agent.

Antispam-Agents auf Edge-Transport-Servern

Wenn in Ihrer Organisation ein Edge-Transport-Server im Umkreisnetzwerk installiert ist, werden alle auf einem Postfachserver verfügbaren Antispam-Agents standardmäßig auf dem Edge-Transport-Server installiert und aktiviert. Die folgenden Antispam-Agents sind jedoch nur auf einem Edge-Transport-Server verfügbar:

  • Verbindungsfilter-Agent: Die Verbindungsfilterung überprüft die IP-Adresse des Remoteservers, der Nachrichten zu senden versucht, um zu bestimmen, welche Aktion ggf. für eine eingehende Nachricht ausgeführt werden soll. Die Verbindungsfilterung verwendet eine IP-Sperrliste, eine ZUGELASSENE IP-Liste, einen Anbieterdienst für blockierte IP-Adressen und anbieterdienste für zugelassene IP-Adressen, um zu bestimmen, ob die Verbindungs-IP blockiert oder zugelassen werden soll. Weitere Informationen finden Sie unter Verbindungsfilterung auf Edge-Transport-Servern.

  • Empfängerfilter-Agent: Die Empfängerfilterung vergleicht die Nachrichtenempfänger im Befehl RCPT TO: SMTP mit einer vom Administrator definierten Empfängerblockierungsliste. Wird dabei eine Übereinstimmung gefunden, darf die Nachricht nicht in die Organisation gelangen. Der Empfängerfilter vergleicht außerdem Empfänger in eingehenden Nachrichten mit dem lokalen Empfängerverzeichnis, um zu bestimmen, ob die Nachricht an gültige Empfänger gerichtet ist. Wenn eine Nachricht nicht an gültige Empfänger adressiert ist, wird die Nachricht abgelehnt. Weitere Informationen finden Sie unter Empfängerfilter auf Edge-Transport-Servern.

    Hinweis

    Obwohl der Empfängerfilter-Agent auf Postfachservern verfügbar ist, sollten Sie ihn nicht konfigurieren. Wenn ein Empfängerfilter auf einem Postfachserver einen ungültigen oder gesperrten Empfänger in einer Nachricht entdeckt, die andere gültige Empfänger enthält, wird die Nachricht zurückgewiesen. Wenn Sie die Antispam-Agents auf einem Postfachserver installieren, ist der Empfängerfilter-Agent standardmäßig aktiviert. Er wird aber nicht zum Sperren von Empfängern konfiguriert.

  • Anlagenfilter-Agent: Die Anlagenfilterung blockiert Nachrichten basierend auf dem Dateinamen der Anlage, der Dateinamenerweiterung oder dem Datei-MIME-Inhaltstyp. Sie können Anlagenfilter so konfigurieren, dass Nachrichten und ihre Anlagen blockiert werden, die Anlage entfernt und die Nachricht zugestellt oder die Nachricht samt Anlage ohne Benachrichtigung gelöscht wird. Weitere Informationen finden Sie unter Anlagenfilterung auf Edge-Transport-Servern.

Basierend auf dem Standardprioritätswert des Antispam-Agents und dem SMTP-Ereignis in der Transportpipeline, in der der Antispam-Agent registriert ist, ist dies die Standardreihenfolge, in der die Antispam-Agents auf einen Edge-Transport-Server angewendet werden:

  1. Verbindungsfilter-Agent

  2. Absenderfilter-Agent

  3. Empfängerfilter-Agent

  4. Sender ID-Agent

  5. Inhaltsfilter-Agent

  6. Protokollanalyse-Agent für die Absenderzuverlässigkeit

  7. Anlagenfilter-Agent

Antispamstempel

Antispamstempel helfen Ihnen bei der Diagnose spambezogener Probleme, indem Diagnosemetadaten, "Stempel" genannt, (z. B. absenderspezifische Informationen, Ergebnisse der Poststempelüberprüfung und Ergebnisse der Inhaltsfilterung) auf Nachrichten angewendet werden, während sie die Antispamfunktionen passieren, die aus dem Internet eingehende Nachrichten filtern. Weitere Informationen finden Sie unter Antispamstempel.

Strategie für Antispamansatz

Ihre Strategie für das Konfigurieren der Antispamfunktionen und das Einrichten des Aggressivitätsgrads der Einstellungen für den Antispam-Agent erfordern sorgfältige Planung und Berechnung. Wenn Sie alle Antispamfilter auf die aggressivste Stufe festlegen und alle Antispamfunktionen so konfigurieren, dass alle verdächtigen Nachrichten abgelehnt werden, wird die Wahrscheinlichkeit erhöht, dass auch Nachrichten abgelehnt werden, die kein Spam sind. Andererseits tritt möglicherweise keine Verringerung des Spamvolumens ein, das in Ihre Organisation gelangt, wenn Sie die Antispamfunktionen nicht ausreichend aggressiv und den SCL-Schwellenwert (Spam Confidence Level) zu hoch festlegen.

Es ist eine bewährte Methode, eine Nachricht abzulehnen, wenn Exchange eine ungültige Nachricht über den Verbindungsfilter-Agent, den Empfängerfilter-Agent oder den Absenderfilter-Agent erkennt. Dieser Ansatz ist besser als das Isolieren solcher Nachrichten oder das Zuweisen von Metadaten, z. B. Antispamstempel, zu solchen Nachrichten. Der Verbindungsfilter-Agent und der Empfängerfilter-Agent blockieren automatisch Nachrichten, die durch die entsprechenden Filter identifiziert werden. Der Absenderfilter-Agent kann konfiguriert werden.

Dies wird empfohlen, da die zugrunde liegende SCL-Bewertung im Verbindungsfilter, Empfängerfilter oder Absenderfilter relativ hoch ist. Wenn der Administrator besondere zu blockierende Absender konfiguriert hat, besteht bei der Absenderfilterung kein Grund, die Absenderfilterdaten solchen Nachrichten zuzuweisen und mit ihrer Verarbeitung fortzufahren. In den meisten Organisationen sollten blockierte Nachrichten abgelehnt werden. (Wenn Sie nicht möchten, dass die Nachrichten abgelehnt werden, schließen Sie sie nicht in die Liste blockierter Absender ein.)

Die gleiche Logik gilt für Echtzeit-Blocklistendienste und Empfängerfilterung, obwohl die zugrunde liegende Konfidenz nicht so hoch ist wie die IP-Sperrliste. Sie sollten sich bewusst sein, dass die Wahrscheinlichkeit falsch positiver Ergebnisse umso größer ist, je weiter der E-Mail-Flusspfad verläuft, da die Antispamfunktionen mehr Variablen auswerten. Daher können Sie feststellen, dass Sie, wenn Sie die ersten Antispamfunktionen in der Antispamkette aggressiver konfigurieren, den Großteil Ihres Spams reduzieren können. Dadurch sparen Sie Verarbeitungs-, Bandbreiten- und Datenträgerressourcen, sodass Sie mehrdeutige Nachrichten verarbeiten können.

Letztendlich müssen Sie planen, die Gesamteffektivität der Antispamfunktionen zu überwachen. Wenn Sie die Überwachung sorgfältig überwachen, können Sie die Antispamfunktionen weiterhin so anpassen, dass sie für Ihre Umgebung gut zusammenarbeiten. Bei diesem Ansatz sollten Sie eine ziemlich nicht aggressive Konfiguration der Antispamfeatures planen, wenn Sie beginnen. Mit diesem Ansatz können Sie die Anzahl falsch positiver Ergebnisse minimieren. Wenn Sie die Antispamfunktionen überwachen und anpassen, können Sie die Art von Spam- und Spamangriffen, die in Ihrer Organisation auftreten, aggressiver werden.

Siehe auch

Antispamschutz in EOP