(0) exportieren Drucken
Alle erweitern

Antispamschutz

 

Gilt für: Exchange Server 2013

Letztes Änderungsdatum des Themas: 2014-01-23

Spammer oder böswillige Absender verwenden eine Vielzahl von Techniken, um Spam in Ihre Organisation zu senden. Kein einzelnes Tool und kein einzelner Vorgang kann Spam vollständig beseitigen. Daher bietet Microsoft Exchange Server 2013 einen mehrschichtigen, diversifizierten und facettenreichen Ansatz zur Verringerung von Spam. Exchange verwendet Transport-Agents, um Antispamfilter bereitzustellen, und die integrierten Antispam-Agents in Exchange 2013 wurden weitgehend unverändert aus Microsoft Exchange Server 2010 übernommen.

Um weitere Antispamfunktionen zu nutzen und die Verwaltung zu vereinfachen, können Sie den gehosteten E-Mail-Filterdienst von Forefront Online Protection for Exchange (FOPE) oder die nächste Version dieses Diensts, Microsoft Exchange Online Protection (EOP), erwerben. Einen Vergleich zwischen EOP und Exchange 2013-Eigenschaften finden Sie unter Vorteile der Antispamfunktionen in Exchange Online Protection im Vergleich zu Exchange Server 2013.

Weitere Informationen zu den integrierten Antischadsoftwarefunktionen in Exchange 2013 finden Sie unter Antischadsoftwareschutz.

Inhalt

Antispam-Agents auf Postfachservern

Antispam-Agents auf Legacy-Edge-Transport-Servern

Antispamstempel

Strategie für ein Antispamkonzept

Typischerweise werden Antispam-Agents auf einem Postfachserver nur dann aktiviert, wenn Ihre Exchange-Organisation nicht über einen Edge-Transport-Server verfügt oder eingehende Nachrichten nicht im Vorfeld nach Spam filtert. Weitere Informationen finden Sie unter Aktivieren der Antispamfunktionen auf einem Postfachserver.

Wie allen Transport-Agents ist jedem Antispam-Agent ein Prioritätswert zugewiesen. Je niedriger der Wert ist, desto höher ist die Priorität: ein Antispam-Agent mit Priorität 1 wird also vor einem Agent mit Priorität 9 eine Aktion für eine Nachricht ausführen. Das SMTP-Ereignis, für das der Antispam-Agent registriert ist, spielt jedoch auch eine große Rolle, um die Reihenfolge zu bestimmen, in der Antispam-Agents Aktionen für Nachrichten ausführen. Ein Antispam-Agent mit niedriger Priorität, der für ein früher in der Transportpipeline eintretendes SMTP-Ereignis registriert ist, führt eine Aktion für eine Nachricht aus, bevor ein Antispam-Agent mit hoher Priorität, der für ein später in der Transportpipeline eintretendes SMTP-Ereignis registriert ist, eine Aktion ausführen kann.

Basierend auf dem Standardprioritätswert des Antispam-Agents und dem SMTP-Ereignis in der Transportpipeline, für das der Antispam-Agent registriert ist, beschreibt die folgende Liste die Agents und die Standardreihenfolge, in der sie auf Nachrichten auf einem Postfachserver angewendet werden:

  1. Absenderfilter-Agent   Die Absenderfilterung vergleicht den Absender im SMTP-Befehl MAIL FROM: mit einer vom Administrator definierten Liste der Absender oder Absenderdomänen, die keine Nachrichten an die Organisation senden dürfen, um die Aktion zu bestimmen, die ggf. für die eingehende Nachricht ausgeführt werden soll. Weitere Informationen finden Sie unter Absenderfilterung.

  2. Empfängerfilter-Agent   Die Empfängerfilterung vergleicht die Nachrichtenempfänger im SMTP-Befehl RCPT TO: mit einer vom Administrator definierten Empfängersperrliste. Wird dabei eine Übereinstimmung gefunden, darf die Nachricht nicht in die Organisation gelangen. Der Empfängerfilter vergleicht außerdem Empfänger in eingehenden Nachrichten mit dem lokalen Empfängerverzeichnis um zu bestimmen, ob die Nachricht an gültige Empfänger adressiert ist. Wenn eine Nachricht nicht an gültige Empfänger gerichtet ist, wird sie zurückgewiesen. Weitere Informationen finden Sie unter Empfängerfilter auf Edge-Transport-Servern.

  3. Sender ID-Agent   Sender ID verwendet die IP-Adresse des sendenden Servers und die PRA (Purported Responsible Address) des Absenders zum Bestimmen, ob der Absender ggf. gefälscht ist. Weitere Informationen finden Sie unter Absender-ID.

  4. Inhaltsfilter-Agent Die Inhaltsfilterung bewertet den Inhalt einer Nachricht. Weitere Informationen finden Sie unter Inhaltsfilterung.

    Das Spam-Quarantänepostfach ist eine Funktion des Inhaltsfilter-Agents, die das Risiko verringert, legitime Nachrichten zu verlieren, die fälschlicherweise als Spam klassifiziert wurden. Die Spamquarantäne stellt einen temporären Speicherort für Nachrichten bereit, die als Spam erkannt wurden und nicht an ein Benutzerpostfach in der Organisation gesendet werden sollen. Weitere Informationen finden Sie unter Spamquarantäne.

    Die Inhaltsfilterung arbeitet auch mit der Funktion "Aggregation von Listen sicherer Adressen" zusammen. Die Aggregation von Listen sicherer Adressen erfasst Daten aus den sicheren Listen zur Abwehr von Spam, die Microsoft Outlook- und Outlook Web App-Benutzer konfigurieren, und stellt diese Daten dem Inhaltsfilter-Agent zur Verfügung. Weitere Informationen finden Sie unter Aggregation von Listen sicherer Adressen.

  5. Protokollanalyse-Agent   Der Protokollanalyse-Agent ist der zugrunde liegende Agent, der die Absenderzuverlässigkeitsfunktion implementiert. Die Absenderzuverlässigkeit stützt sich auf bestehende Daten zur IP-Adresse des sendenden Servers, um die Aktion zu bestimmen, die ggf. für eine eingehende Nachricht ausgeführt werden soll. Ein Absenderzuverlässigkeitsgrad wird für mehrere Absendermerkmale berechnet, die aus der Nachrichtenanalyse und externen Tests abgeleitet werden. Weitere Informationen finden Sie unter Absenderzuverlässigkeit und der Protokollanalyse-Agent.

Zurück zum Seitenanfang

Wenn in Ihrer Organisation ein Exchange 2007- oder Exchange 2010-Edge-Transport-Server im Umkreisnetzwerk installiert ist, werden alle Antispam-Agents, die auf einem Postfachserver verfügbar sind, standardmäßig auf dem Edge-Transport-Server installiert und aktiviert. Folgende Antispam-Agents sind jedoch nur auf einem Edge-Transport-Server verfügbar:

  • Verbindungsfilter-Agent   Die Verbindungsfilterung untersucht die IP-Adresse des Remoteservers, der Nachrichten zu senden versucht, um die Aktion zu bestimmen, die ggf. für eine eingehende Nachricht ausgeführt werden soll. Die Remote-IP-Adresse steht dem Verbindungsfilter-Agent als Nebenprodukt der zugrunde liegenden TCP/IP-Verbindung zur Verfügung, die für die SMTP-Sitzung erforderlich ist. Verbindungsfilter verwenden eine Vielzahl von IP-Sperrlisten, IP-Zulassungslisten sowie Anbieter für blockierte oder für zugelassene IP-Adressen, um zu bestimmen, ob die Verbindung von einer bestimmten IP-Adresse in der Organisation blockiert oder zugelassen werden soll. Weitere Informationen zur Verbindungsfilterung in Exchange 2010 finden Sie unter <fwlink to http://technet.microsoft.com/library/bb124320(v=exchg.141).aspx>.

  • Anlagenfilter-Agent   Die Anlagenfilterung filtert Nachrichten basierend auf dem Dateinamen der Anlage, der Dateinamenerweiterung oder dem MIME-Inhaltstyp der Datei. Sie können die Anlagenfilterung so konfigurieren, dass Nachrichten und ihre Anlagen blockiert werden, die Anlage entfernt und die Nachricht zugestellt oder die Nachricht samt Anlage ohne Benachrichtigung gelöscht wird. Weitere Informationen zur Anlagenfilterung in Exchange 2010 finden Sie unter <fwlink to http://technet.microsoft.com/library/bb124399(v=exchg.141).aspx>.

Basierend auf dem Standardprioritätswert des Antispam-Agents und dem SMTP-Ereignis in der Transportpipeline, für das der Antispam-Agent registriert ist, werden die Antispam-Agents auf einem Edge-Transport-Server standardmäßig in dieser Reihenfolge angewendet:

  1. Verbindungsfilter-Agent

  2. Absenderfilter-Agent

  3. Empfängerfilter-Agent

  4. Sender ID-Agent

  5. Inhaltsfilter-Agent

  6. Protokollanalyse-Agent für die Absenderzuverlässigkeit

  7. Anlagenfilter-Agent

Zurück zum Seitenanfang

Antispamstempel helfen Ihnen bei der Diagnose spambezogener Probleme, indem Diagnosemetadaten oder Stempel (z. B. absenderspezifische Informationen, Ergebnisse der Poststempelüberprüfung und Ergebnisse der Inhaltsfilterung) auf Nachrichten angewendet werden, während sie die Antispamfunktionen passieren, die aus dem Internet eingehende Nachrichten filtern. Weitere Informationen finden Sie unter Antispamstempel.

Zurück zum Seitenanfang

Ihre Strategie für das Konfigurieren der Antispamfunktionen und das Einrichten des Aggressivitätsgrads der Einstellungen für den Antispam-Agent erfordern sorgfältige Planung und Berechnung. Wenn Sie alle Antispamfilter auf die aggressivste Stufe festlegen und alle Antispamfunktionen so konfigurieren, dass alle verdächtigen Nachrichten abgelehnt werden, wird die Wahrscheinlichkeit erhöht, dass auch Nachrichten abgelehnt werden, die kein Spam sind. Andererseits tritt möglicherweise keine Verringerung des Spamvolumens ein, das in Ihre Organisation gelangt, wenn Sie die Antispamfunktionen nicht ausreichend aggressiv und den SCL-Schwellenwert (Spam Confidence Level) zu hoch festlegen.

Es ist eine bewährte Methode, eine Nachricht abzulehnen, wenn Exchange über den Verbindungsfilter-Agent, den Empfängerfilter-Agent oder den Absenderfilter-Agent diese als verdächtige Nachricht erkennt. Dieser Ansatz ist besser als das Isolieren solcher Nachrichten oder das Zuweisen von Metadaten, wie zum Beispiel Antispamstempel, zu solchen Nachrichten. Der Verbindungsfilter-Agent und der Empfängerfilter-Agent blockieren automatisch Nachrichten, die vom jeweiligen Filter identifiziert werden. Der Absenderfilter-Agent kann konfiguriert werden.

Diese bewährte Methode wird empfohlen, da die zugrunde liegende SCL-Bewertung im Verbindungsfilter, Empfängerfilter oder Absenderfilter relativ hoch ist. Wenn der Administrator bestimmte Absender konfiguriert hat, die immer blockiert werden, besteht bei der Absenderfilterung kein Grund, die Absenderfilterdaten solchen Nachrichten zuzuweisen und mit ihrer Verarbeitung fortzufahren. In den meisten Organisationen sollten blockierte Nachrichten abgelehnt werden. (Sie hätten die Absender nicht in die Liste blockierter Absender aufgenommen, wenn deren Nachrichten nicht abgelehnt werden sollten.)

Die gleiche Logik gilt für Echtzeit-Sperrlistendienste und Absenderfilter, obwohl der zugrunde liegende Vertrauensgrad nicht so hoch wie bei der IP-Sperrliste ist. Sie sollten beachten, dass im weiteren Verlauf der Nachrichtenübermittlung die Wahrscheinlichkeit für falsch positive Befunde steigt, weil die Antispamfunktionen eine größere Anzahl von Variablen auswerten. Sie werden ggf. feststellen, dass Sie durch aggressiveres Konfigurieren der ersten Antispamfunktionen in der Antispamkette das Spamvolumen verringern. Dadurch sparen Sie Verarbeitungs-, Bandbreiten- und Datenträgerressourcen, sodass eine höhere Anzahl von verdächtigen Nachrichten untersucht werden kann.

Schließlich müssen Sie die Überwachung der Gesamteffektivität der Antispamfunktionen planen. Mit sorgfältiger Überwachung können Sie die Antispamfunktionen fortlaufend anpassen, damit sie für Ihre Umgebung gut zusammen arbeiten. Bei diesem Ansatz sollten Sie zu Beginn nur eine weitgehend nicht aggressive Konfiguration der Antispamfunktionen vorsehen. Durch diese Vorgehensweise können Sie die Anzahl falsch positiver Befunde so gering wie möglich halten. Während Sie die Antispamfunktionen überwachen und anpassen, können Sie aggressiver gegen die Art von Spam und die Spamangriffe vorgehen, der bzw. denen Ihre Organisation ausgesetzt ist.

Zurück zum Seitenanfang

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft