Empfängerfilterung

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2006-08-21

Der Empfängerfilter-Agent ist ein Antispam-Agent, der auf Computern aktiviert ist, auf denen die Microsoft Exchange Server 2007-Serverfunktion Edge-Transport installiert ist. Der Empfängerfilter-Agent verwendet den RCPT TO-SMTP-Kopfzeile (Simple Mail Transport Protocol), um gegebenenfalls die Aktion zu bestimmen, die auf eine eingehende Nachricht angewendet werden soll.

Beim Konfigurieren von Antispam-Agents auf einem Edge-Transport-Server bearbeitet der Agent Nachrichten kumulativ, um die Anzahl der unerwünschten Nachrichten zu verringern, die in die Organisation gelangen. Weitere Informationen über das Planen und Bereitstellen von Antispam-Agents finden Sie unter Antispam- und Antivirusfunktionen.

Der Empfängerfilter-Agent blockt Nachrichten entsprechend den Eigenschaften des beabsichtigten Empfängers in der Organisation. Der Empfängerfilter-Agent kann Ihnen dabei helfen, in folgenden Szenarios die Annahme von Nachrichten zu verhindern:

  • Nicht vorhandene Empfänger   Sie können die Zustellung an Empfänger verhindern, die nicht im Adressbuch der Organisation vorhanden sind. Möglicherweise möchten Sie die Zustellung an häufig missbrauchte Kontonamen wie administrator@contoso.com oder support@contoso.com unterbinden.

  • Eingeschränkte Verteilerlisten   Sie können die Zustellung von Internet Mail an Verteilerlisten verhindern, die nur von internen Benutzern verwendet werden sollten.

  • Postfächer, die keine Nachrichten über das Internet empfangen dürfen sollen   Sie können die Zustellung von Internet Mail an ein bestimmtes Postfach bzw. einen Alias verhindern, das/der normalerweise innerhalb der Organisation verwendet wird, z. B. Helpdesk.

Der Empfängerfilter-Agent verarbeitet Empfänger, die in einer der beiden folgenden Datenquellen gespeichert sind:

  • Liste geblockter Empfänger   Eine vom Administrator definierte Liste von Empfängern, für die über das Internet eingehende Nachrichten nie akzeptiert werden sollen.

  • Empfänger-Lookup   Überprüfung, dass der Empfänger in der Organisation vorhanden ist. Empfänger-Lookup erfordert Zugriff auf Informationen des Active Directory-Verzeichnisdiensts, die von EdgeSync dem Active Directory-Anwendungsmodus (Active Directory Application Mode, ADAM) bereitgestellt werden.

Weitere Informationen zu Listen geblockter Empfänger und der Empfänger-Lookup-Funktion finden Sie weiter unten in diesem Thema unter "Empfängerdatenquellen".

Wenn der Empfängerfilter-Agent aktiviert wird, wird entsprechend der Eigenschaften des Empfängers mit eingehenden Nachrichten eine der folgenden Aktionen ausgeführt. Diese Empfänger werden durch die RCPT TO-Kopfzeile identifiziert.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der in der Liste geblockter Empfänger steht, sendet der Edge-Transport-Server einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absenderserver.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der keinem Empfänger im Empfänger-Lookup entspricht, sendet der Edge-Transport-Server einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absenderserver.

  • Wenn der Empfänger weder in der Liste geblockter Empfänger steht noch im Empfänger-Lookup zu finden ist, sendet der Edge-Transport-Server eine SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) an den Absenderserver, und der nächste Antispam-Agent in der Reihe verarbeitet die Nachricht.

Empfängerdatenquellen

Wie bereits erwähnt, verwendet der Empfängerfilter-Agent zwei Datenquellen zum Vergleichen von Empfängern in eingehenden Nachrichten: die Liste geblockter Empfänger und Empfänger-Lookup.

Liste geblockter Empfänger

Die Liste geblockter Empfänger ist eine Liste, die von Edge-Transport-Serveradministratoren gepflegt wird. Die Daten der Liste geblockter Empfänger wird in der Edge-Transport-Serverinstanz von ADAM gespeichert. Geblockte Empfänger müssen auf jedem Edge-Transport-Servercomputer einzeln eingegeben werden.

Die Empfänger, die vom Empfängerfilter-Agent geblockt werden sollen, können in der Exchange-Verwaltungskonsole auf der Seite Empfängerfilterung Eigenschaften auf der Registerkarte Geblockte Empfänger eingegeben werden. Zum Eingeben der Empfänger können Sie den Befehl Set-RecipientFilterConfig in der Exchange-Verwaltungsshell verwenden. Weitere Informationen zum Konfigurieren des Empfängerfilter-Agents finden Sie unter Konfigurieren der Empfängerfilterung.

Empfänger-Lookup

Ein Vorteil des Empfängerfilter-Agents besteht darin, dass verifiziert werden kann, ob sich die Empfänger einer eingehenden Nachricht in Ihrer Organisation befinden, bevor Exchange 2007 die Nachricht in Ihre Organisation übermittelt wird. Diese Funktion basiert auf einer Empfängerdatenquelle, die dem Edge-Transport-Server zur Verfügung steht. Da der Edge-Transport-Server kein der Active Directory-Domäne beigetretener Computer und von der Organisation durch eine Firewall getrennt sein kann, müssen Sie eine Empfänger-Lookup-Datenquelle konfigurieren, die vom Edge-Transport-Server verwendet werden soll.

Die Serverfunktion Edge-Transport verwendet ADAM für die Konfiguration und Datenspeicherung. Weitere Informationen finden Sie unter Verwenden eines Edge-Abonnements zum Auffüllen von ADAM mit Active Directory-Daten.

Teergrubenfunktion (Tarpitting)

Die Empfänger-Lookup-Funktion ermöglicht einem Absenderserver die Überprüfung, ob eine E-Mail-Adresse gültig ist oder nicht. Wie bereits erwähnt, sendet der Edge-Transport-Server, wenn es sich bei dem Empfänger einer eingehenden Nachricht um einen bekannten Empfänger handelt, eine SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) an den Absenderserver zurück. Diese Funktionalität bietet eine ideale Umgebung für einen Verzeichnisdiebstahl-Angriff.

Ein Verzeichnisdiebstahl-Angriff ist ein Versuch, gültige E-Mail-Adressen einer bestimmten Organisation zu sammeln, um diese Adressen einer Spamdatenbank hinzuzufügen. Da alle Erlöse aus Spam darauf beruhen, Personen dazu zu bringen, E-Mail-Nachrichten zu öffnen, sind Adressen, von denen bekannt ist, dass sie aktiv sind, eine Art Ware oder Rohstoff, für die/den bösartige Benutzer oder Spammer Geld bezahlen. Da das SMTP-Protokoll Rückmeldungen für bekannte und unbekannte Absender liefert, kann ein Spammer ein automatisiertes Programm schreiben, das gemeinsame Namen oder Wörterbucheinträge verwendet, um E-Mail-Adressen an eine bestimmte Domäne zu konstruieren. Das Programm sammelt dann alle E-Mail-Adressen, die eine SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) zurückgeben, und verwirft alle E-Mail-Adressen, die einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgeben. Der Spammer kann nun die gültigen E-Mail-Adressen verkaufen oder als Empfänger für unerwünschte Nachrichten verwenden.

Zur Bekämpfung von Verzeichnisdiebstahl-Angriffen enthält Exchange 2007 eine Teergrubenfunktion (Tarpitting). Beim Teergrubenverfahren handelt es sich um eine Methode, bei der Serverantworten auf bestimmte SMTP-Kommunikationsmuster, die auf hohe Volumen von Spam oder anderen unerwünschten Nachrichten hindeuten, künstlich verzögert werden. Das Ziel des Teergrubenverfahrens ist es, den Kommunikationsprozess für solchen E-Mail-Verkehr zu verlangsamen, um die Kosten des Versendens von Spam für die Person oder Organisation, von der der Spam gesendet wird, zu erhöhen. Durch das Teergrubenverfahren werden Verzeichnisdiebstahl-Angriffe zu kostspielig, um sie effizient automatisieren zu können.

Wenn die Teergrubenfunktion nicht konfiguriert ist, gibt Exchange Server sofort einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absender zurück, wenn ein Empfänger nicht im Empfänger-Lookup gefunden wird. Alternativ wartet SMTP bei konfigurierter Teergrubenfunktion eine festgelegte Anzahl von Sekunden, bevor der Fehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgegeben wird. Diese Pause innerhalb der SMTP-Sitzung erschwert die Automatisierung eines Verzeichnisdiebstahl-Angriffs und erhöht die Kosten für den Spammer. Das Teergrubenverfahren ist für Empfangsconnectors standardmäßig auf 5 Sekunden festgelegt.

Um das Zeitintervall zu konfigurieren, nach dem SMTP den Fehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgibt, verwenden Sie die Exchange-Verwaltungskonsole oder die Exchange-Verwaltungsshell, um den Wert Teergrubenintervall (Sekunden) auf dem Empfangsconnector festzulegen. Weitere Informationen zum Verwalten und Konfigurieren von Empfangsconnectors finden Sie unter Empfangsconnectors.

Mehrere Namespaces

Manche Organisationen akzeptieren E-Mail-Nachrichten für mehrere Domänen. So kann beispielsweise eine Organisation Nachrichten für beide Domänen Contoso.com und Woodgrovebank.com akzepieren. Manchmal sind Organisationen für alle Domänen autorisierend, für die Nachrichten akzeptiert werden. Im SMTP-Kontext ist die Organisation für eine Domäne autorisierend, wenn die Organisation die Postfächer dieser Domäne enthält und verwaltet. Diese Beziehung dehnt sich bis auf den Edge-Transport-Server aus. Ein Edge-Transport-Server kann Nachrichten für mehrere Domänen akzeptieren, kann aber nicht für alle diese Domänen autorisierend sein. Ein Edge-Transport-Server kann also beispielsweise so konfiguriert sein, dass er für alle Empfänger in der Domäne Contoso.com autorisierend ist, aber der Edge-Transport-Server akzeptiert immer noch Nachrichten für die Domäne Woodgrovebank.com und leitet sie weiter.

Wenn der Empfängerfilter-Agent aktiviert wird, führt er Empfänger-Lookups nur für die Domänen aus, die in der Transportserverkonfiguration als autorisierend angegeben sind. Wenn ein Edge-Transport-Server Nachrichten im Auftrag einer anderen Domäne akzeptiert und weiterleitet, der Edge-Transport-Server aber nicht als autorisierend konfiguriert ist, führt der Empfängerfilter-Agent kein Empfänger-Lookup aus. Wenn jedoch ein nicht autorisierter Empfänger in der Empfängersperrliste angegeben ist, wird der Empfänger dennoch gesperrt.

Weitere Informationen

Weitere Informationen hierzu finden Sie unter den folgenden Themen: