Grundlegendes zu Antispam- und Antiviren-Nachrichtenübermittlung

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2010-01-18

Wenn ein externer Benutzer E-Mail-Nachrichten an einen Servercomputer mit Microsoft Exchange sendet, der die Antispamfunktionen ausführt, werten die Antispamfunktionen kumulativ Merkmale der eingehenden Nachrichten aus und filtern dann entweder Nachrichten aus, die im Verdacht stehen, Spamnachrichten zu sein, oder weisen Nachrichten eine Bewertung auf Basis der Wahrscheinlichkeit zu, dass es sich um Spam handelt. Diese Bewertung wird zusammen mit der Nachricht als Nachrichteneigenschaft gespeichert, die als SCL-Bewertung (Spam Confidence Level) bezeichnet wird. Beim Senden der Nachricht an andere Servercomputer mit Exchange bleibt diese Bewertung mit der Nachricht erhalten.

Die folgende Abbildung zeigt die Reihenfolge, in der die Antispam-Standardfunktionen und Microsoft Forefront Security für Exchange Server eingehende Nachrichten aus dem Internet filtern. Die Antispam- und Antivirenfunktionen werden standardmäßig in dieser Reihenfolge angeordnet, und zwar mit den Filtern zuerst, die am wenigsten Ressourcen verwenden, während die Filter zuletzt folgen, die am meisten Ressourcen verwenden.

Hinweis

Zusätzliche Antispamfunktionen werden ggf. in Zukunft verfügbar sein. Nachdem neue Antispamfunktionen entwickelt wurden, werden sie in die Gesamtnachrichtenübermittlung integriert. Außerdem besteht in der folgenden Abbildung und der zugehörigen Erläuterung die Annahme, dass der Exchange Server 2010-Edge-Transport-Server der erste SMTP-Server ist, der eingehende Nachrichten akzeptiert. In einigen Organisationen wird der Edge-Transport-Server möglicherweise hinter einem SMTP-Server eines Drittanbieters bereitgestellt. Wenn der Exchange 2010-Edge-Transport-Server hinter einem SMTP-Gatewayserver eines Drittanbieters bereitgestellt wird, ist für den Exchange 2010-Edge-Transport-Server zusätzliche Konfiguration erforderlich. Insbesondere müssen Sie sicherstellen, dass alle SMTP-Gatewayserver in der Eigenschaft InternalSMTPServer des Objekts "TransportConfig" aufgelistet werden. Weitere Informationen finden Sie unter Set-TransportConfig.

Antispam-Standardfunktionen mit Antivirenfilterung für eingehende Nachrichten aus dem Internet
Antispam- und Antivirenfilter (Diagramm)

Wie in der vorangehenden Abbildung gezeigt, werden bei der Verbindung eines SMTP-Servers mit Exchange 2010 und der Initiierung einer SMTP-Sitzung Filter in der folgenden Reihenfolge angewendet, wenn der Edge-Transport-Server mit dem Internet verbunden ist:

  • Verbindungsfilterung
  • Absenderfilterung
  • Empfängerfilterung
  • Sender ID-Filterung
  • Inhaltsfilterung
  • Anlagenfilterung
  • Antivirusscan

Hinweis

Die Verbindungsfilterung erfasst Informationen während zwei verschiedener Ereignisse. Beim ersten Ereignis erfasst die Verbindungsfilterung IP-Adressinformationen von der Verbindung (wie in der vorangehenden Abbildung dargestellt). Beim zweiten Ereignis sammelt die Verbindungsfilterung Informationen, wenn der Absenderfilter-Agent den Nachrichtenkopf analysiert, um die erste externe IP-Adresse zu bestimmen (wie in der Abbildung unter "Absenderfilterung" weiter unten in diesem Thema dargestellt). Agents können mehrere Ereignisse überwachen. Die vorangehende Abbildung erläutert den Meldungsfluss und zeigt zu diesem Zweck eine grobe Übersicht der ungefähren Reihenfolge, in der Agents angewendet werden, wenn alle Agents aktiviert sind. Weitere Informationen zu bestimmten Ereignissen sowie Angaben dazu, welche Agents welche Ereignisse überwachen, finden Sie unter Grundlegendes zu Transport-Agents.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Antispam- und Antivirenfunktionen gibt? Informationen hierzu finden Sie unter Verwalten der Antispam- und Antivirenfunktionen.

Inhalt

Verbindungsfilterung

Absenderfilterung

Empfängerfilterung

Sender ID-Filterung

Inhaltsfilterung

Anlagenfilterung

Virenüberprüfung

Junk-E-Mail-Filterung in Outlook

Verbindungsfilterung

Während der SMTP-Sitzung wendet Exchange 2010 Verbindungsfilterung mithilfe der in der folgenden Abbildung gezeigten Kriterien an:

Nachrichtenübermittlung bei der Verbindungsfilterung
Verbindungsfilterung (Diagramm)

Der folgende Vorgang wird ausgeführt:

  1. Der Verbindungsfilter-Agent untersucht die vom Administrator definierte IP-Zulassungsliste. Wenn sich die IP-Adresse des sendenden Servers auf der vom Administrator definierten IP-Zulassungsliste befindet, wird die Nachricht von der Absenderfilterung verarbeitet.
  2. Der Verbindungsfilter-Agent untersucht die lokale IP-Sperrliste. Wenn sich die IP-Adresse des sendenden Servers in der lokalen IP-Sperrliste befindet, wird die Nachricht ohne weitere Filterung automatisch abgelehnt.
  3. Der Verbindungsfilter-Agent untersucht die Liste der zulässigen IP-Adressen, die von beliebigen IP-Zulassungslistenanbietern bereitgestellt wird. Wenn sich die IP-Adresse des sendenden Servers auf der Liste der zulässigen IP-Adressen von IP-Zulassungslistenanbietern befindet, wird die Nachricht von der Absenderfilterung verarbeitet.
  4. Der Verbindungsfilter-Agent untersucht die Echtzeitsperrlisten sämtlicher von Ihnen konfigurierten IP-Sperrlistenanbieter. Wenn die IP-Adresse des sendenden Servers in einer Echtzeitsperrliste gefunden wurde, wird die Nachricht abgelehnt, und es werden keine weiteren Filter angewendet.

Weitere Informationen finden Sie unter Grundlegendes zur Verbindungsfilterung.

Hinweis

Wenn der Verbindungsfilter-Agent auf einem Computer bereitgestellt wird, der sich hinter einem mit dem Internet verbundenen Server befindet, werden andere Filter vor dem Verbindungsfilter-Agent aufgerufen, z. B. Absender- und Empfängerfilterung.

Nach oben

Absenderfilterung

Nachdem die Verbindungsfilterung angewendet wurde, untersucht Exchange 2010 die E-Mail-Adresse des Absenders anhand der Liste der gesperrten Absender, die Sie bei der Absenderfilterung konfigurieren, wie in der folgenden Abbildung dargestellt.

Nachrichtenübermittlung bei der Absenderfilterung
Absenderfilterung (Diagramm)

Der Absenderfilter-Agent überprüft dann die E-Mail-Adresse des Absenders, die in den "Von"-Kopffeldern im Nachrichtenumschlag und im Nachrichtenkopf enthalten ist. Wenn eines der "Von"-Kopffelder mit der Adresse in der Liste der gesperrten Absender übereinstimmt, weist Exchange 2010 die Nachricht auf Protokollebene zurück, und es werden keine weiteren Filter angewendet.

Hinweis

Selbst wenn Empfänger in Ihrer Organisation Absender in ihre Microsoft Outlook-Liste der sicheren Absender aufgenommen haben, setzt die Absenderfilterung auf dem Edge-Transport-Server die Outlook-Einstellung des Empfängers außer Kraft und lehnt die Nachrichten ab.

Weitere Informationen zur Absenderfilterung finden Sie unter Grundlegendes zur Absenderfilterung.

Weitere Informationen zum Nachrichtenumschlag und Nachrichtenkopf finden Sie unter Grundlegendes zu den PICKUP- und Wiedergabeverzeichnissen.

Nach oben

Empfängerfilterung

Wenn die Nachricht nicht von der Absenderfilterung abgelehnt wird, führt Exchange die Verbindungsfilterung erneut aus. Exchange wendet anschließend den Empfängerfilter-Agent an (wie in der folgenden Abbildung dargestellt).

Nachrichtenübermittlung bei der Empfängerfilterung
Empfängerfilter (Diagramm)

Der Empfängerfilter-Agent untersucht den Empfänger anhand der Empfängersperrliste, die Sie in den Einstellungen des Empfängerfilter-Agents konfiguriert haben. Wenn der beabsichtigte Empfänger mit einer E-Mail-Adresse in Ihrer Empfängersperrliste übereinstimmt, lehnt Exchange 2010 die Nachricht für diesen bestimmten Empfänger ab. Zusätzlich prüft der Empfängerfilter-Agent, ob der Empfänger in der Organisation vorhanden ist. Wenn der Empfänger in der Organisation nicht vorhanden ist, lehnt Exchange die Nachricht für diesen bestimmten Empfänger ab.

Sollten mehrere Empfänger in der Nachricht aufgelistet sein, die nicht in der Empfängersperrliste enthalten sind, wird die Nachricht auch weiterhin verarbeitet. Andernfalls werden keine weiteren Filter angewendet, wenn die Nachricht nur an einen einzelnen gesperrten Empfänger gerichtet ist.

Wenn eine Nachricht mit gesperrten Empfängern verarbeitet wird, wird die Gruppe der gesperrten Empfänger aus der Nachricht entfernt, und die Nachricht wird an die Organisation weitergeleitet. SMTP-Zurückweisungsantworten auf Protokollebene werden für jeden gesperrten Empfänger an den Absender gesendet. Der Absenderzuverlässigkeits-Agent überwacht das Ereignis OnReject, um den Absenderzuverlässigkeitsgrad zu berechnen.

Weitere Informationen finden Sie unter Grundlegendes zur Empfängerfilterung.

Nach oben

Sender ID-Filterung

Wenn die Nachricht weiterhin gültige Empfänger enthält, nachdem die Empfängerfilterung angewendet wurde, führt Exchange 2010 die Sender ID-Filterung aus, wie in der folgenden Abbildung dargestellt.

Nachrichtenübermittlung bei der Sender ID-Filterung
Filterung nach Sender ID (Diagramm)

Zuerst ermittelt der Sender ID-Agent die Purported Responsible Address (PRA) der Nachricht mithilfe des in RFC 4407 beschriebenen Algorithmus. Dieser Schritt ist erforderlich, um den Absender der Nachricht genau zu identifizieren. Die PRA ist eine SMTP-Adresse, z. B. "kim@contoso.com". Der Sender ID-Agent führt dann einen DNS-Suchvorgang (Domain Name Service) für den Domänenteil der PRA durch. Wenn diese Domäne einen SPF-Datensatz (Sender Policy Framework) veröffentlicht hat, verwendet der Agent den SPF-Datensatz, um die Nachricht gemäß der Spezifikation für RFC 4408 zu beurteilen. Wenn die Domäne keinen veröffentlichten SPF-Datensatz besitzt, stempelt der Sender ID-Agent die Nachricht mit dem Sender ID-Ergebnis "Keine". Weitere Informationen zu den für die Sender ID-Filterung verwendeten Stempeltypen finden Sie unter Grundlegendes zu Antispamstempeln.

Wenn der DNS des Absenders von einer blockierten Domäne oder einer blockierten Adresse stammt, können die folgenden Maßnahmen in Abhängigkeit von Ihrer Konfiguration von Sender ID-Aktionen ausgeführt werden:

  • Nachricht ablehnen   Wenn für die Sender ID-Aktion die Option Nachricht ablehnen festgelegt wird, lehnt Exchange die Nachricht ab und sendet eine SMTP-Fehlerantwort an den sendenden Server. Die SMTP-Fehlerantwort ist eine Antwort auf 5xx-Protokollebene mit Text, der dem Status der Sender ID entspricht.
  • Nachricht löschen   Wenn für die Sender ID-Aktion die Option Nachricht löschen festgelegt wird, löscht Exchange die Nachricht, ohne den sendenden Server über den Löschvorgang zu informieren. Der Computer mit der installierten Edge-Transport-Serverrolle sendet dem sendenden Server einen falschen SMTP-Befehl "OK" und löscht anschließend die Nachricht. Da der sendende Server annimmt, dass die Nachricht gesendet wurde, versucht er innerhalb der gleichen Sitzung nicht, die Nachricht erneut zu senden.
  • Nachrichten mit Sender ID-Ergebnis stempeln und Verarbeitungsvorgang fortsetzen   Exchange stempelt die Nachricht mit dem Sender ID-Ergebnis und setzt die Verarbeitung der Nachricht fort. Diese Metadaten werden vom Inhaltsfilter-Agent ausgewertet, wenn eine SCL-Bewertung berechnet wird. Zusätzlich verwendet die Absenderzuverlässigkeit die Metadaten der Nachricht zum Berechnen eines Absenderzuverlässigkeitsgrads (Sender Reputation Level, SRL) für den Absender der Nachricht.

Weitere Informationen finden Sie unter Grundlegendes zur Sender ID.

Nach oben

Inhaltsfilterung

Bevor die Inhaltsfilterung von Exchange den intelligenten Exchange-Nachrichtenfilter aufruft, wird die Absenderfilterung erneut angewendet. Der Exchange-Server wendet dann den Inhaltsfilter-Agent an, wie in der folgenden Abbildung gezeigt.

Nachrichtenübermittlung bei der Inhaltsfilterung
Inhaltsfilter-Agent – Nachrichtenübermittlung

Der Inhaltsfilter-Agent prüft die folgenden Bedingungen in der Nachricht. Wenn eine der Bedingungen zutrifft, umgeht die Nachricht die Inhalts- und Anlagenfilterung. Diese Nachrichten werden dann zur Verarbeitung an den Antivirenscan weitergeleitet. Die folgenden Bedingungen werden überprüft:

  • Die IP-Adresse des Absenders ist in der IP-Zulassungsliste für die Verbindungsfilterung enthalten.
  • Alle Empfänger befinden sich in der Ausnahmeliste für die Inhaltsfilterung.
  • Für den Parameter AntiSpamBypassEnabled ist der Wert $True für alle Postfächer des Empfängers festgelegt.
  • Alle Empfänger haben diesen Absender zu ihrer Outlook-Liste der sicheren Absender hinzugefügt, die auf dem Edge-Transport-Server mithilfe der Aggregation von Listen sicherer Adressen aktualisiert wird.
  • Der Absender ist ein vertrauenswürdiger Partner und befindet sich in der Liste der nicht gefilterten Absender der Organisation.

Zusätzlich zu den hier aufgeführten Bedingungen werden die Antispam-Agents während dieser Sitzung für Nachrichten deaktiviert, wenn die SMTP-Sitzung als vertrauenswürdiger Partner authentifiziert wurde und der Administrator die Berechtigung zum Umgehen von Antispam ("Ms-Exch-Bypass-Anti-Spam") für Partner erteilt hat. Die Berechtigung zum Umgehen von Antispam wird den Partnern nicht standardmäßig erteilt, sondern muss von einem Administrator zugewiesen werden.

Wenn eine Nachricht keine der beschriebenen Bedingungen erfüllt, wird die Inhaltsfilterung angewendet. Bei der Inhaltsfilterung wird der Nachricht eine SCL-Bewertung zugeordnet. Auf Grundlage der SCL-Bewertung tritt eine der folgenden Aktionen ein:

  • Wenn die SCL-Bewertung der Nachricht gleich dem oder größer als der SCL-Schwellenwert zum Löschen ist und dieser aktiviert ist, löscht der Inhaltsfilter-Agent die Nachricht. Es findet keine Kommunikation auf Protokollebene statt, die das sendende System oder den Absender informiert, dass die Nachricht gelöscht wurde. Wenn die SCL-Bewertung kleiner als der SCL-Schwellenwert zum Löschen ist, löscht der Inhaltsfilter-Agent die Nachricht nicht. In diesem Fall vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Zurückweisungsschwellenwert.
  • Wenn die SCL-Bewertung der Nachricht gleich dem oder größer als der SCL-Zurückweisungsschwellenwert ist und dieser aktiviert ist, lehnt der Inhaltsfilter-Agent die Nachricht ab und sendet eine Zurückweisungsantwort an das sendende System. Sie können die Zurückweisungsantwort anpassen. In einigen Fällen wird ein Unzustellbarkeitsbericht an den ursprünglichen Absender der Nachricht gesendet. Wenn die SCL-Bewertung kleiner als der SCL-Zurückweisungsschwellenwert ist, lehnt der Inhaltsfilter-Agent die Nachricht nicht ab. In diesem Fall vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Isolierungsschwellenwert.
  • Wenn die SCL-Bewertung der Nachricht gleich dem oder größer als der SCL-Isolierungsschwellenwert ist und dieser aktiviert ist, sendet der Inhaltsfilter-Agent die Nachricht an das Quarantänepostfach für Spam. Weitere Informationen zum Verwalten des Quarantänepostfachs für Spam finden Sie unter Grundlegendes zur Inhaltsfilterung. Für die Nachricht wird dann mit der Anlagenfilterung fortgefahren.

Weitere Informationen hierzu finden Sie unter den folgenden Themen:

Nach oben

Anlagenfilterung

Nachdem die Inhaltsfilterung angewendet wurde, wendet Exchange die Anlagenfilterung an, wie in der folgenden Abbildung dargestellt.

Nachrichtenübermittlung bei der Anlagenfilterung
Anlagenfilter (Diagramm)

Sie können die Anlagenfilterung konfigurieren, um Anlagen auf Grundlage ihres MIME-Inhaltstyps, Dateinamens oder ihrer Dateinamenerweiterung zu blockieren. Wenn bei der Anlagenfilterung ein Inhaltstyp oder Dateiname erkannt wird, der blockiert wurde, dann wird eine der folgenden Aktionen auf Basis Ihrer Einstellungen für die Anlagenfilterung ausgeführt:

  • Reject   Wenn die Einstellung der Aktion auf Reject festgelegt ist, wird die Zustellung der E-Mail-Nachricht und der Anlage an den Empfänger verhindert und vom System eine DSN-Fehlernachricht an den Absender gesendet. Sie können Ihre Zurückweisungsantwort anpassen.
  • Silent Delete   Wenn die Einstellung der Aktion auf Silent Delete festgelegt ist, wird die Zustellung der E-Mail-Nachricht und der Anlage an den Empfänger verhindert. Es wird keine Benachrichtigung an den Absender gesendet, dass die E-Mail-Nachricht und die Anlage gesperrt wurden.
  • Strip   Wenn die Einstellung der Aktion auf Strip festgelegt ist, wird die Anlage aus der E-Mail-Nachricht entfernt. Dieser Wert ermöglicht, dass die Nachricht und sonstige Anlagen, die keinem Eintrag der Anlagensperrliste entsprechen, dem Empfänger zugestellt werden. Der E-Mail-Nachricht des Empfängers wird eine Benachrichtigung hinzugefügt, dass die Anlage gesperrt wurde.

Wenn die Nachricht nicht zurückgewiesen oder gelöscht wurde bzw. die Anlagenfilterung keine gesperrten Anlagentypen ermittelt hat, wird die Nachricht auf Viren geprüft.

Weitere Informationen finden Sie unter Konfigurieren von Anlagenfiltern.

Nach oben

Virenüberprüfung

Nach dem Anwenden der Anlagenfilterung oder dem Umgehen der Empfänger bei der Inhaltsfilterung erfolgt der Antivirenscan mit Forefront Security für Exchange Server, wie in der folgenden Abbildung dargestellt.

Forefront Security für Exchange Server, Nachrichtenübermittlung bei Antivirenscan
Forefront-Antivirenfilter (Diagramm)

Forefront Security für Exchange Server ist ein Antivirensoftwarepaket, das eng in Exchange 2010 integriert ist und einen zusätzlichen Antivirenschutz für Ihre Exchange-Umgebung bietet. Wenn Forefront Security für Exchange Server Nachrichten erkennt, die scheinbar einen Virus enthalten, löscht das System die Nachricht, erstellt eine Benachrichtigung und sendet diese dann an das Postfach des Empfängers.

Weitere Informationen zu Forefront Security für Exchange Server finden Sie unter Schützen Ihrer Microsoft Exchange-Organisation mit Microsoft Forefront Security für Exchange Server (möglicherweise in englischer Sprache).

Nach oben

Junk-E-Mail-Filterung in Outlook

Nachdem alle Filter angewendet wurden und für die Nachricht ein Antivirenscan erfolgte, wird die Nachricht an das vorgesehene Postfach des Empfängers gesendet und die Junk-E-Mail-Filterung angewendet, wie in der folgenden Abbildung dargestellt.

Nachrichtenübermittlung bei Junk-E-Mail-Filterung in Outlook
Junk-E-Mail-Filter für Outlook (Diagramm)

Wenn die SCL-Bewertung für die Nachricht gleich dem oder größer als der SCL-Schwellenwert des Junk-E-Mail-Ordners ist und dieser Ordner aktiviert ist, speichert der Postfachserver die Nachricht im Junk-E-Mail-Ordners des Outlook-Benutzers. Wenn der SCL-Wert für eine Nachricht kleiner als die Werte für SCL-Lösch-, -Zurückweisungs-, -Isolierungs- und SCL-Schwellenwerte des Junk-E-Mail-Ordners ist, speichert der Postfachserver die Nachricht im Posteingang des Benutzers. Weitere Informationen zu SCL-Schwellenwerten finden Sie unter Grundlegendes zum SCL-Schwellenwert (Spam Confidence Level).

Nach oben