Empfängerfilter auf Edge-Transport-Servern

Gilt für: Exchange Server 2013

Die Empfängerfilterung ist eine Antispamfunktion in Microsoft Exchange Server 2013, die den RCPT TO SMTP-Header verwendet, um zu bestimmen, welche Aktion ggf.auf eine eingehende Nachricht angewendet werden soll. Die Empfängerfilterung wird vom Empfängerfilter-Agent ausgeführt.

Der Empfängerfilter-Agent blockt Nachrichten entsprechend den Eigenschaften des beabsichtigten Empfängers in der Organisation. Der Empfängerfilter-Agent kann Ihnen dabei helfen, in folgenden Szenarios die Annahme von Nachrichten zu verhindern:

  • Nicht vorhandene Empfänger: Sie können die Zustellung an Empfänger verhindern, die sich nicht im Adressbuch der Organisation befinden. Beispielsweise können Sie die Übermittlung von häufig missbrauchten Kontonamen wie administrator@contoso.com oder support@contoso.combeenden.

  • Eingeschränkte Verteilerlisten: Sie können die Zustellung von Internet-E-Mails an Verteilerlisten verhindern, die nur von internen Benutzern verwendet werden sollen.

  • Postfächer, die niemals Nachrichten aus dem Internet empfangen sollten: Sie können die Übermittlung von Internet-E-Mails an ein bestimmtes Postfach oder einen Bestimmten Alias verhindern, der normalerweise innerhalb der Organisation verwendet wird, z. B. Helpdesk.

Der Empfängerfilter-Agent verarbeitet Empfänger, die in einer der beiden folgenden Datenquellen gespeichert sind:

  • Empfängerblockierungsliste: Eine vom Administrator definierte Liste von Empfängern, die niemals Nachrichten aus dem Internet empfangen sollen.

  • Empfängersuche: Fragt Active Directory ab, um zu überprüfen, ob der Empfänger in der Organisation vorhanden ist. Auf einem Edge-Transport-Server wird für die Empfängersuche Zugriff auf Active Directory-Informationen benötigt, die EdgeSync der lokalen Instanz von Active Directory Lightweight Directory Services (AD LDS) bereitstellt.

Wenn der Empfängerfilter-Agent aktiviert wird, wird entsprechend der Eigenschaften des Empfängers mit eingehenden Nachrichten eine der folgenden Aktionen ausgeführt. Diese Empfänger werden durch die RCPT TO-Kopfzeile identifiziert.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der sich in der Liste Empfängerblockierung befindet, sendet der Exchange-Server einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den sendenden Server.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der mit keinem Empfänger in der Empfängersuche übereinstimmt, sendet der Exchange-Server einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den sendenden Server.

  • Wenn sich der Empfänger nicht in der Liste Empfängerblockierung befindet und sich der Empfänger in der Empfängersuche befindet, sendet der Exchange-Server eine 250 2.1.5 Recipient OK SMTP-Antwort an den sendenden Server, und der nächste Antispam-Agent in der Kette verarbeitet die Nachricht.

Konfigurieren der Empfängersuche

Eins der effektivsten Verfahren zum Verringern von Spam besteht in der Überprüfung von Empfängern vor dem Akzeptieren eingehender Nachrichten aus dem Internet. Mit dem Cmdlet Set-RecipientFilterConfig der Exchange-Verwaltungsshell aktivieren Sie die Blockierung von Nachrichten, die an in der Exchange-Organisation nicht vorhandene Empfänger gesendet werden, sowie die Blockierung bestimmter Empfänger. Weitere Informationen finden Sie unter Verwalten der Empfängerfilterung auf Edge-Transport-Servern.

Wenn Sie in Ihrem Umkreisnetzwerk einen Edge-Transport-Server installiert haben, empfiehlt es sich, die AD LDS-Instanz, die auf dem Edge-Transport-Server ausgeführt wird, mit Active Directory zu synchronisieren. Standardmäßig wird AD LDS auf dem Edge-Transport-Server installiert und konfiguriert. Sie müssen jedoch AD LDS für die Kommunikation mit einem der Active Directory-Domäne beigetretenen globalen Katalogserver konfigurieren, indem Sie den Edge-Transport-Server für Ihr Organisation abonnieren. Weitere Informationen finden Sie unter Verwenden eines Exchange 2010- oder 2007-Edge-Transport-Servers in Exchange 2013.

Teergrubenfunktion (Tarpitting)

Die Empfängersuchfunktion ermöglicht einem Absenderserver die Überprüfung, ob eine E-Mail-Adresse gültig ist oder nicht. Wie bereits erwähnt, sendet der Exchange-Server, wenn der Empfänger einer eingehenden Nachricht ein bekannter Empfänger ist, eine 250 2.1.5 Recipient OK SMTP-Antwort an den sendenden Server zurück. Diese Funktionalität bietet eine ideale Umgebung für einen Verzeichnisdiebstahl-Angriff.

Ein Directory Harvest-Angriff ist ein Versuch, gültige E-Mail-Adressen aus einer bestimmten Organisation zu sammeln, damit die E-Mail-Adressen einer Spamdatenbank hinzugefügt werden können. Da alle Spam-Einnahmen davon abhängen, dass Personen E-Mail-Nachrichten öffnen, sind Adressen, die als aktiv bekannt sind, eine Ware, für die böswillige Benutzer oder Spammer bezahlen. Da das SMTP-Protokoll Rückmeldungen für bekannte und unbekannte Absender liefert, kann ein Spammer ein automatisiertes Programm schreiben, das allgemeine Namen oder Wörterbucheinträge verwendet, um E-Mail-Adressen für eine bestimmte Domäne zu konstruieren. Das Programm sammelt alle E-Mail-Adressen, die eine 250 2.1.5 Recipient OK SMTP-Antwort zurückgeben, und verwirft alle E-Mail-Adressen, die einen 550 5.1.1 User unknown SMTP-Sitzungsfehler zurückgeben. Der Spammer kann anschließend die gültigen E-Mail-Adressen verkaufen oder als Empfänger unerwünschter Nachrichten verwenden.

Zur Bekämpfung von Verzeichnisdiebstahl-Angriffen enthält Exchange 2013 eine Teergrubenfunktion (Tarpitting). Tarpitting ist die Praxis der künstlichen Verzögerung von Serverantworten für bestimmte SMTP-Kommunikationsmuster, die auf große Mengen an Spam oder anderen unerwünschten Nachrichten hinweisen. Das Ziel des Teergrubenverfahrens ist es, den Kommunikationsprozess für solchen E-Mail-Verkehr zu verlangsamen, um die Kosten des Versendens von Spam für die Person oder Organisation, von der der Spam gesendet wird, zu erhöhen. Durch das Teergrubenverfahren werden Verzeichnisdiebstahl-Angriffe zu kostspielig, um sie effizient automatisieren zu können.

Wenn tarpitting nicht konfiguriert ist, gibt der Exchange-Server sofort einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den Absender zurück, wenn sich ein Empfänger nicht in der Empfängersuche befindet. Wenn tarpitting konfiguriert ist, wartet SMTP alternativ eine angegebene Anzahl von Sekunden, bevor der 550 5.1.1 User unknown Fehler zurückgegeben wird. Diese Pause innerhalb der SMTP-Sitzung erschwert die Automatisierung eines Verzeichnisdiebstahl-Angriffs und erhöht die Kosten für den Spammer. Das Teergrubenverfahren ist für Empfangsconnectors standardmäßig auf 5 Sekunden festgelegt.

Um die Verzögerung zu konfigurieren, bevor SMTP den 550 5.1.1 User unknown Fehler zurückgibt, legen Sie das Tarpittingintervall mithilfe des TarpitInterval-Parameters im Cmdlet Set-ReceiveConnector fest. Die Syntax lautet:

Set-ReceiveConnector <Receive Connector> -TarpitInterval <00:00:00 to 00:10:00>

Der Standardwert ist 00:00:05 oder 5 Sekunden. Der Name des Standardmäßigen Empfangsconnectors auf einem Edge-Transport-Server lautet Default internal receive connector <server name>.

Gehen Sie mit Umsicht vor, wenn Sie sich entscheiden, diesen Wert zu ändern. Ein übermäßig langes Intervall kann die normale Nachrichtenübermittlung unterbrechen, während ein zu kurzes Intervall möglicherweise nicht ausreichend effektiv beim Abwehren eines Verzeichnisdiebstahl-Angriffs ist. Wenn Sie das Teergrubenintervall ändern, nehmen Sie die Änderung in kleinen Schritten vor, und überprüfen Sie die Ergebnisse. Wenn ein Wert von 5 Sekunden beispielsweise nicht effektiv ist, ändern Sie das Intervall in 10 Sekunden.

Mehrere Namespaces

Der Empfängerfilter-Agent führt Empfängersuchen nur für autoritative Domänen durch. Wenn Ihre Organisation Nachrichten im Auftrag einer anderen Domäne akzeptiert und weiterleitet, die als interne oder externe Relaydomäne konfiguriert ist, wendet der Empfängerfilter-Agent keine Empfängersuche auf die Empfänger in diesen Domänen an. Wenn der Empfänger allerdings in der Liste blockierter Empfänger angegeben ist, wird der Empfänger weiter vom Empfängerfilter-Agent blockiert.

Sie können auch akzeptierte Domänen lokal auf einem Edge-Transport-Server konfigurieren. Wenn die Domäne als interne oder externe Relaydomäne konfiguriert ist, führt der Empfängerfilter-Agent auf dem Edge-Transport-Server keine Empfängersuche in diesen Domänen durch.